32024R1689[1]
Az Európai Parlament és a Tanács (EU) 2024/1689 rendelete (2024. június 13.) a mesterséges intelligenciára vonatkozó harmonizált szabályok megállapításáról, valamint a 300/2008/EK, a 167/2013/EU, a 168/2013/EU, az (EU) 2018/858, az (EU) 2018/1139 és az (EU) 2019/2144 rendelet, továbbá a 2014/90/EU, az (EU) 2016/797 és az (EU) 2020/1828 irányelv módosításáról (a mesterséges intelligenciáról szóló rendelet)
AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2024/1689 RENDELETE
(2024. június 13.)
a mesterséges intelligenciára vonatkozó harmonizált szabályok megállapításáról, valamint a 300/2008/EK, a 167/2013/EU, a 168/2013/EU, az (EU) 2018/858, az (EU) 2018/1139 és az (EU) 2019/2144 rendelet, továbbá a 2014/90/EU, az (EU) 2016/797 és az (EU) 2020/1828 irányelv módosításáról (a mesterséges intelligenciáról szóló rendelet)
(EGT-vonatkozású szöveg)
AZ EURÓPAI PARLAMENT ÉS AZ EURÓPAI UNIÓ TANÁCSA,
tekintettel az Európai Unió működéséről szóló szerződésre és különösen annak 16. és 114. cikkére,
tekintettel az Európai Bizottság javaslatára,
a jogalkotási aktus tervezete nemzeti parlamenteknek való megküldését követően,
tekintettel az Európai Gazdasági és Szociális Bizottság véleményére,[2]
tekintettel az Európai Központi Bank véleményére,[3]
tekintettel a Régiók Bizottságának véleményére,[4]
rendes jogalkotási eljárás keretében,[5]
mivel:
(1) E rendelet célja, hogy javítsa a belső piac működését azáltal, hogy egységes jogi keretet állapít meg különösen a mesterségesintelligencia-rendszereknek (MI-rendszerek) az uniós értékekkel összhangban történő, Unión belüli fejlesztésére, forgalomba hozatalára, üzembe helyezésére és használatára vonatkozóan, hogy előmozdítsa az emberközpontú és megbízható mesterséges intelligencia (MI) elterjedését, miközben biztosítja az Unióban az egészség, a biztonság és az Európai Unió Alapjogi Chartájában (a továbbiakban: a Charta) rögzített alapvető jogok - többek között a demokrácia, a jogállamiság és a környezetvédelem - magas szintű védelmét, hogy védelmet biztosítson az MI-rendszerek káros hatásaival szemben, továbbá, hogy támogassa az innovációt. E rendelet biztosítja a mesterséges intelligencián alapuló áruk és szolgáltatások határokon átnyúló szabad mozgását, ezáltal megakadályozva a tagállamokat abban, hogy korlátozásokat vezessenek be az MI-rendszerek fejlesztésére, piaci értékesítésére és használatára vonatkozóan, kivéve, ha ezt e rendelet kifejezetten engedélyezi.
(2) Ezt a rendeletet a Chartában rögzített uniós értékekkel összhangban kell alkalmazni, előmozdítva a természetes személyek, a vállalkozások, a demokrácia, a jogállamiság és a környezet védelmét, mindeközben fellendítve az innovációt és a foglalkoztatást, és az Uniót vezető szerephez juttatva a megbízható mesterséges intelligencia elterjedése terén.
(3) Az MI-rendszerek könnyen alkalmazhatók számos különböző gazdasági ágazatban és a társadalom számos területén, többek között határokon átnyúlóan is, és könnyen mozoghatnak az egész Unión belül. Egyes tagállamok már fontolóra vették olyan nemzeti szabályok elfogadását, amelyek annak biztosítását célozzák, hogy a mesterséges intelligencia megbízható és biztonságos legyen, fejlesztésére és használatára pedig az alapvető jogokkal kapcsolatos kötelezettségekkel összhangban kerüljön sor. Az eltérő nemzeti szabályok a belső piac széttagoltságához vezethetnek, és csökkenthetik az MI-rendszereket fejlesztő, importáló vagy használó gazdasági szereplők jogbiztonságát. Ezért a megbízható MI megvalósítása érdekében az egész Unióban következetes és magas szintű védelmet kell biztosítani, ugyanakkor meg kell előzni az MI-rendszerek, valamint a kapcsolódó termékek és szolgáltatások belső piacon belüli szabad mozgását, innovációját, bevezetését és elterjedését akadályozó különbségeket, és ennek érdekében a gazdasági szereplők számára egységes kötelezettségeket kell megállapítani, valamint az Európai Unió működéséről szóló szerződés (EUMSZ) 114. cikke alapján garantálni kell a közérdeken alapuló kényszerítő indokok és a személyek jogainak egységes védelmét a belső piacon. Annyiban, amennyiben e rendelet különös szabályokat tartalmaz az egyéneknek a személyes adatok kezelése tekintetében való védelmére vonatkozóan az MI-rendszerek bűnüldözés céljából, távoli biometrikus azonosításra történő használatát, az MI-rendszerek bűnüldözés céljából, természetes személyekre vonatkozó kockázatértékelések elvégzésére történő használatát, valamint az MI-rendszerek bűnüldözés céljából, biometrikus kategorizálásra történő használatát érintő korlátozásokkal kapcsolatban, helyénvaló e rendeletet az említett különös szabályok tekintetében az EUMSZ 16. cikkére alapozni. E különös szabályokra és az EUMSZ 16. cikkének alkalmazására tekintettel helyénvaló konzultálni az Európai Adatvédelmi Testülettel.
(4) A mesterséges intelligencia gyorsan fejlődő technológiacsalád, amely az ágazatok és a társadalmi tevékenységek teljes spektrumában gazdasági, környezeti és társadalmi előnyök széles skálájához járul hozzá. Az előrejelzések javításával, a műveleteknek és az erőforrások elosztásának optimalizálásával, valamint az egyének és a szervezetek rendelkezésére álló digitális megoldások személyre szabásával az MI használata kulcsfontosságú versenyelőnyt biztosíthat a vállalkozások számára, és társadalmi és környezeti szempontból kedvező eredményeket hozhat, például az egészségügy, a mezőgazdaság, az élelmiszerbiztonság, az oktatás és képzés, a média, a sport, a kultúra, az infrastruktúra-működtetés, az energia, a közlekedés és a logisztika, a közszolgáltatások, a biztonság, az igazságszolgáltatás, az erőforrás- és energiahatékonyság, a környezetvédelmi monitoring, a biológiai sokféleség és az ökoszisztémák megőrzése és helyreállítása, valamint az éghajlatváltozás mérséklése és az ahhoz való alkalmazkodás terén.
(5) Ugyanakkor az MI - a konkrét alkalmazásával, használatával és technológiai fejlettségi szintjével kapcsolatos körülményektől függően - kockázatokat is generálhat, valamint sértheti a közérdeket és az uniós jog által védett alapvető jogokat. Az ilyen kár lehet vagyoni vagy nem vagyoni kár, ideértve a fizikai, pszichés, társadalmi vagy gazdasági kárt is.
(6) Tekintettel arra a jelentős hatásra, amelyet a mesterséges intelligencia a társadalomra gyakorolhat, valamint figyelemmel a bizalomépítés szükségességére, alapvető fontosságú, hogy a mesterséges intelligencia fejlesztése és szabályozási keretének kidolgozása az Európai Unióról szóló szerződés (EUSZ) 2. cikkében foglalt uniós értékekkel, a Szerződésekben rögzített alapvető jogokkal és szabadságokkal, valamint - az EUSZ 6. cikke értelmében - a Chartával összhangban történjen. Ennek előfeltétele, hogy a mesterséges intelligencia emberközpontú technológia legyen. A mesterséges intelligenciának eszközként kell szolgálnia az emberek számára, azzal a végső céllal, hogy növelje a jólétüket.
(7) A közérdek következetes és magas szintű védelmének az egészség, a biztonság és az alapvető jogok tekintetében történő biztosítása érdekében közös szabályokat kell megállapítani valamennyi nagy kockázatú MI-rendszerre vonatkozóan. Az említett szabályoknak összhangban kell állniuk a Chartával, megkülönböztetéstől mentesnek kell lenniük, és meg kell felelniük az Unió nemzetközi kereskedelmi kötelezettségvállalásainak. Emellett figyelembe kell venniük a digitális évtizedben érvényre juttatandó digitális jogokról és elvekről szóló európai nyilatkozatot, valamint a mesterséges intelligenciával foglalkozó magas szintű szakértői csoport (a továbbiakban: magas szintű MI-szakértői csoport) megbízható mesterséges intelligenciára vonatkozó etikai iránymutatásait is.
(8) Ezért a mesterséges intelligencia belső piacon történő fejlesztésének, használatának és elterjedésének elősegítése érdekében szükség van a mesterséges intelligenciára vonatkozó harmonizált szabályokat meghatározó uniós jogi keretre, amely ugyanakkor garantálja az uniós jog által elismert és oltalmazott közérdek - például az egészség és a biztonság -, valamint az alapvető jogok - köztük a demokrácia, a jogállamiság és a környezetvédelem - magas szintű védelmét. E célkitűzés elérése érdekében szabályokat kell megállapítani bizonyos MI-rendszerek forgalomba hozatalára, üzembe helyezésére és használatára vonatkozóan, biztosítva ezáltal a belső piac zavartalan működését, és lehetővé téve, hogy e rendszerek élvezhessék az áruk és szolgáltatások szabad mozgásának elvéből származó előnyöket. Az említett szabályoknak egyértelműnek és robusztusnak kell lenniük az alapvető jogok védelmét illetően, segíteniük kell az új innovatív megoldásokat, támogatniuk kell az uniós értékekkel összhangban álló MI-rendszereket létrehozó köz- és magánszektorbeli szereplők európai ökoszisztémáját, valamint az Unió valamennyi régiójában ki kell bontakoztatniuk a digitális transzformációban rejlő potenciált. E szabályok megállapításával, valamint az innovációt támogató - a kis- és középvállalkozásokra (kkv-k) és köztük az induló innovatív vállalkozásokra kiemelt hangsúlyt helyező - intézkedések meghatározásával e rendelet egyfelől támogatja azt a célkitűzést, amelynek értelmében elő kell mozdítani a mesterséges intelligencia európai emberközpontú megközelítését, és amelynek értelmében - az Európai Tanács által megállapítottak szerint* - az EU-nak globális vezető szerepet kell betöltenie a biztonságos, megbízható és etikus MI fejlesztésében, másfelől pedig biztosítja az etikai elvek védelmét, amint azt az Európai Parlament kifejezetten kérte**.[6]
(9) A nagy kockázatú MI-rendszerek forgalomba hozatalára, üzembe helyezésére és használatára alkalmazandó harmonizált szabályokat a 765/2008/EK európai parlamenti és tanácsi rendelettel*, a 768/2008/EK európai parlamenti és tanácsi határozattal**, valamint az (EU) 2019/1020 európai parlamenti és tanácsi rendelettel*** (a továbbiakban: az új jogszabályi keret) összhangban kell megállapítani. Az e rendeletben meghatározott harmonizált szabályokat ágazatokon átívelően kell alkalmazni, és azok - az új jogszabályi kerettel összhangban - nem érinthetik a meglévő uniós jogszabályokat, különösen az adatvédelemre, a fogyasztóvédelemre, az alapvető jogokra, a foglalkoztatásra és a munkavállalók védelmére, valamint a termékbiztonságra vonatkozó azon jogszabályokat, amelyeket e rendelet kiegészít. Következésképpen valamennyi jog és jogorvoslati lehetőség, amelyeket az ilyen uniós jog a fogyasztók és más olyan személyek számára biztosít, akikre az MI-rendszerek negatív hatást gyakorolhatnak, többek között az esetleges károknak a 85/374/EGK tanácsi irányelv**** szerinti megtérítése tekintetében, változatlanok és teljes mértékben alkalmazandók maradnak. Továbbá, - a foglalkoztatással és a munkavállalók védelmével összefüggésben - e rendelet ezért nem érintheti a szociálpolitikára vonatkozó uniós jogot és az uniós jognak megfelelő, a foglalkoztatási és a munkafeltételekre vonatkozó nemzeti munkajogot, beleértve a munkahelyi egészségvédelmet és biztonságot, valamint a munkáltatók és munkavállalók közötti kapcsolatot. E rendelet nem érintheti a tagállamokban és uniós szinten elismert alapvető jogoknak - beleértve a sztrájkjognak vagy a sztrájk szabadságának, vagy a tagállamokban fennálló konkrét munkaügyi kapcsolatrendszerek keretébe tartozó egyéb fellépések megtétele jogának vagy szabadságának, valamint a kollektív megállapodásokkal kapcsolatos tárgyalásokhoz és e megállapodások megkötéséhez és érvényesítéséhez való jognak, illetve a kollektív fellépéshez való jognak - a nemzeti jog szerinti gyakorlását sem. E rendelet nem érintheti a platformalapú munkavégzés munkakörülményeinek javítását célzó, a platformalapú munkavégzés munkakörülményeinek javításáról szóló európai parlamenti és tanácsi irányelvben meghatározott rendelkezéseket. Ezen túlmenően e rendelet célja, hogy konkrét követelmények és kötelezettségek megállapításával megerősítse az ilyen meglévő jogok és jogorvoslati lehetőségek hatékonyságát, többek között az MI-rendszerek átláthatósága, műszaki dokumentációja és nyilvántartása tekintetében. Továbbá, az e rendelet alapján az MI-értékláncban részt vevő különböző gazdasági szereplőkre rótt kötelezettségeket, a bizonyos MI-rendszerek használatát korlátozó hatással járó, az uniós jognak megfelelő nemzeti jogszabályok sérelme nélkül kell alkalmazni, amennyiben az ilyen jogszabályok nem tartoznak e rendelet hatálya alá, vagy az e rendelet által elérni kívántaktól eltérő, legitim közérdekű célokat követnek. Például, e rendelet nem érintheti a nemzeti munkajogot és - figyelembe véve a gyermek jogairól szóló ENSZ-egyezménynek a gyermekek digitális környezetet érintő jogairól szóló, 25 (2021) sz. általános észrevételét - a kiskorúak (nevezetesen a 18 év alatti személyek) védelméről szóló jogszabályokat, amennyiben azok nem kifejezetten az MI-rendszerekre vonatkoznak, és más legitim közérdekű célokat követnek.[7]
(10) A személyes adatok védelméhez való alapvető jog védelmét különösen az (EU) 2016/679* és az (EU) 2018/1725** európai parlamenti és tanácsi rendelet, valamint az (EU) 2016/680 európai parlamenti és tanácsi irányelv*** biztosítja. Ezenfelül a 2002/58/EK európai parlamenti és tanácsi irányelv**** védi a magánéletet és a közlések titkosságát, többek között a személyes és nem személyes adatok végberendezéseken való tárolására és az adatokhoz onnan történő hozzáférésre vonatkozó feltételek meghatározása révén. Az említett uniós jogi aktusok biztosítják a fenntartható és felelős adatkezelés alapját, ideértve azt az esetet is, amikor az adatállományok vegyesen tartalmaznak személyes és nem személyes adatokat. E rendeletnek nem célja, hogy befolyásolja a személyes adatok kezelésére vonatkozó meglévő uniós jogszabályok alkalmazását, az említett jogi eszközöknek való megfelelés ellenőrzéséért felelős független felügyeleti hatóságok feladatait és hatáskörét is beleértve. E rendelet nem érinti továbbá az MI-rendszerek szolgáltatóinak és alkalmazóinak - adatkezelői vagy adatfeldolgozói szerepkörükben fennálló - a személyes adatok védelmére vonatkozó uniós vagy nemzeti jogból fakadó kötelezettségeit, amennyiben az MI-rendszerek tervezése, fejlesztése vagy használata személyes adatok kezelésével jár. Helyénvaló továbbá egyértelművé tenni, hogy az érintetteket továbbra is megilleti az említett uniós jog által számukra biztosított valamennyi jog és garancia, beleértve az egyedi ügyekben történő, kizárólagosan automatizált döntéshozatalhoz, többek között a profilalkotáshoz kapcsolódó jogokat is. Az MI-rendszerek forgalomba hozatalára, üzembe helyezésére és használatára vonatkozó, e rendelettel megállapított harmonizált szabályoknak meg kell könnyíteniük, hogy az érintetteket a személyes adatok és egyéb alapvető jogok védelmére vonatkozó uniós jog értelmében megillető jogok és egyéb jogorvoslatok ténylegesen érvényesüljenek, illetve lehetővé kell tenniük az említett jogok és egyéb jogorvoslatok érintettek általi gyakorlását.[8]
(11) E rendelet nem sértheti a közvetítő szolgáltatók felelősségére vonatkozó, az (EU) 2022/2065 európai parlamenti és tanácsi rendeletben* meghatározott rendelkezéseket.[9]
(12) Az "MI-rendszer" e rendeletben szereplő fogalmát egyértelműen kell meghatározni, és azt szorosan össze kell hangolni a mesterséges intelligenciával foglalkozó nemzetközi szervezetek munkájával a jogbiztonság szavatolása, valamint a nemzetközi konvergencia és a széles körű elfogadottság előmozdítása érdekében, mindeközben pedig rugalmasságot biztosítva az e téren végbemenő gyors technológiai fejlődéshez való alkalmazkodáshoz. Ezen túlmenően a fogalommeghatározásnak az MI-rendszerek azon alapvető jellemzőin kell alapulnia, amelyek megkülönböztetik azon egyszerűbb hagyományos szoftverrendszerektől vagy programozási megközelítésektől, és az nem terjedhet ki olyan rendszerekre, amelyek kizárólag természetes személyek által műveletek automatikus végrehajtása céljából meghatározott szabályokon alapulnak. Az MI-rendszerek alapvető jellemzői közé tartozik a következtetés képessége. A következtetés képessége egyfelől az olyan kimenetek - például előrejelzések, tartalom, ajánlások vagy döntések - előállításának folyamatára utal, amelyek befolyásolni tudnak fizikai és virtuális környezeteket, másfelől pedig az MI-rendszerek azon képességére, hogy bemenetekből vagy adatokból modelleket vagy algoritmusokat - vagy mindkettőt - tudnak levezetni. A következtetést az MI-rendszer egyidejű építésével együtt lehetővé tévő technikák közé tartoznak a gépi tanulási megközelítések, amelyek adatokból tanulják meg, hogy miként lehet elérni bizonyos célkitűzéseket, valamint a logikai és tudásalapú megközelítések, amelyek kódolt ismeretek vagy a megoldandó feladat szimbolikus ábrázolása alapján következtetnek. Valamely MI-rendszer következtetési kapacitása meghaladja az alapvető adatkezelés körét azáltal, hogy lehetővé teszi a tanulást, az érvelést vagy a modellezést. A "gépalapú" kifejezés arra a tényre utal, hogy az MI-rendszerek gépeken futnak. Az explicit vagy implicit célkitűzésekre való hivatkozás kiemeli, hogy az MI-rendszerek explicit módon meghatározott célkitűzések vagy implicit célkitűzések szerint működhetnek. Az MI-rendszer célkitűzései eltérhetnek az MI-rendszer adott konkrét kontextuson belüli rendeltetésétől. E rendelet alkalmazásában a környezetek alatt azok a környezetek értendők, amelyekben az MI-rendszerek működnek, míg az MI-rendszer által generált kimenetek az MI-rendszerek által ellátott különböző funkciókat tükrözik, és előrejelzéseket, tartalmat, ajánlásokat vagy döntéseket foglalnak magukban. Az MI-rendszereket úgy alakították ki, hogy eltérő szintű autonómiával működjenek, ami azt jelenti, hogy tevékenységeiket illetően bizonyos mértékben függetlenek az emberi közreműködéstől és bizonyos mértékben képesek emberi beavatkozás nélkül működni. Az MI-rendszerek a bevezetésüket követően alkalmazkodóképességet tanúsíthatnak, amely a rendszer használat közbeni változását lehetővé tévő öntanulási képességekre utal. Az MI-rendszerek önállóan vagy termék alkotóelemeként használhatók, függetlenül attól, hogy a rendszert fizikailag integrálták-e a termékbe (beágyazott rendszer), vagy hogy anélkül szolgálja-e a termék funkcionalitását, hogy abba beépítenék (nem beágyazott rendszer).
(13) Az "alkalmazó" e rendeletben szereplő fogalmát úgy kell értelmezni, hogy az bármely olyan természetes vagy jogi személyt - többek között hatóságot, ügynökséget vagy egyéb szervet - jelöl, aki, illetve amely a felügyelete alá tartozó MI-rendszert használja, kivéve, ha az MI-rendszer használata személyes, nem szakmai jellegű tevékenység keretében történik. Az MI-rendszer típusától függően a rendszer használata az alkalmazótól eltérő személyeket is érinthet.
(14) A "biometrikus adatok" e rendeletben használt fogalmát a biometrikus adatoknak az (EU) 2016/679 európai parlamenti és tanácsi rendelet 4. cikkének 14. pontjában, az (EU) 2018/1725 európai parlamenti és tanácsi rendelet 3. cikkének 18. pontjában és az (EU) 2016/680 európai parlamenti és tanácsi irányelv 3. cikkének 13. pontjában meghatározott fogalma tükrében kell értelmezni. A biometrikus adatok lehetővé tehetik természetes személyek hitelesítését, azonosítását vagy kategorizálását, valamint természetes személyek érzelmeinek felismerését.
(15) A "biometrikus azonosítás" e rendeletben szereplő fogalmát a következőképpen kell meghatározni: testi, fiziológiai és viselkedési emberi jellemzők - például az arc, a szemmozgás, a testalkat, a hang, a prozódia, a járás, a testtartás, a szívverés, a vérnyomás, a testszag és a billentyűleütések jellegzetességei - automatikus felismerése valamely egyén személyazonosságának megállapítása céljából az említett egyén biometrikus adatainak egyének referencia-adatbázisokban tárolt biometrikus adataival való összevetése révén, függetlenül attól, hogy az egyén hozzájárulását adta-e ehhez vagy sem. Ez kizárja az olyan biometrikus ellenőrzésre szánt MI-rendszereket, amely ellenőrzés magában foglalja a hitelesítést is abból a kizárólagos célból, hogy megerősítse, egy konkrét természetes személy valóban az a személy, akinek állítja magát, és kizárólag abból a célból erősíti meg egy természetes személy személyazonosságát, hogy az hozzáférhessen egy szolgáltatáshoz, feloldhassa egy eszköz zárolását vagy biztonsági hozzáférést kapjon helyiségekhez.
(16) A "biometrikus kategorizálás" e rendeletben szereplő fogalmát a következőképpen kell meghatározni: természetes személyek meghatározott kategóriákba sorolása biometrikus adataik alapján. E meghatározott kategóriák olyan szempontokhoz kapcsolódhatnak, mint például a nem, életkor, hajszín, szemszín, tetoválások, viselkedés- vagy személyiségjegyek, nyelv, vallás, nemzeti kisebbséghez tartozás, szexuális vagy politikai irányultság. Ez a fogalommeghatározás nem foglalja magában az olyan biometrikus kategorizálási rendszereket, amelyek egy másik kereskedelmi szolgáltatáshoz szervesen kapcsolódó, kizárólag kiegészítő jellegű elemnek minősülnek, ami azt jelenti, hogy az elem - objektív technikai okokból - nem használható a fő szolgáltatás nélkül, és az említett elem vagy funkcionalitás integrációja nem az e rendelet szabályai alkalmazhatóságának elkerülésére szolgáló eszköz. Például az online piactereken használt, arc- vagy testjellemzőket kategorizáló szűrők ilyen kiegészítő jellegű elemnek minősülhetnek, mivel csak a fő szolgáltatással összefüggésben használhatók, mely fő szolgáltatás adott termék olyan értékesítéséből áll, amely lehetővé teszi a fogyasztó számára, hogy előzetesen megjeleníthesse magán a terméket, ezáltal segítve őt a vásárlási döntés meghozatalában. Az online közösségi hálózati szolgáltatások keretében használt szűrők, amelyek arc- vagy testjellemzőket kategorizálnak annak érdekében, hogy a felhasználók képeket vagy videókat tölthessenek fel vagy módosíthassanak, szintén kiegészítő jellegű elemnek minősülhetnek, mivel az ilyen szűrők nem használhatók a közösségi hálózati szolgáltatások által biztosított fő szolgáltatás nélkül, amely a tartalmak online megosztása.
(17) A "távoli biometrikus azonosító rendszer" e rendeletben említett fogalmát funkcionális értelemben kell meghatározni, olyan MI-rendszerként, amelynek célja természetes személyek - aktív részvételük nélküli, jellemzően távolról történő - azonosítása valamely személy biometrikus adatainak egy referencia-adatbázisban található biometrikus adatokkal való összevetése révén, függetlenül az alkalmazott konkrét technológiától, folyamatoktól vagy biometrikusadat-típusoktól. Az ilyen távoli biometrikus azonosító rendszereket jellemzően több személy vagy viselkedésük egyidejű észlelésére használják annak érdekében, hogy jelentős mértékben megkönnyítsék a természetes személyek aktív közreműködésük nélkül történő azonosítását. Ez kizárja az olyan biometrikus ellenőrzésre szánt MI-rendszereket, amely ellenőrzés magában foglalja a hitelesítést is abból a kizárólagos célból, hogy megerősítse, egy konkrét természetes személy valóban az a személy, akinek állítja magát, és kizárólag abból a célból erősíti meg egy természetes személy személyazonosságát, hogy az hozzáférhessen egy szolgáltatáshoz, feloldhassa egy eszköz zárolását vagy biztonsági hozzáférést kapjon helyiségekhez. Az említett kizárást azon tény indokolja, hogy az ilyen rendszerek a nagy számú személy biometrikus adatainak - az aktív közreműködésük nélkül történő - kezelésére használható távoli biometrikus azonosító rendszerekhez képest valószínűleg csekély hatást gyakorolnak a természetes személyek alapvető jogaira. A "valós idejű" rendszerek esetében a biometrikus adatok rögzítése, az összehasonlítás és az azonosítás azonnal, majdnem azonnal, vagy mindenesetre jelentős késleltetés nélkül történik. E tekintetben nem nyílhat mozgástér az érintett MI-rendszerek "valós idejű" használatára vonatkozóan e rendeletben foglalt szabályok megkerülésére azáltal, hogy kisebb késleltetéseket alkalmaznak. A "valós idejű" rendszerek olyan "élő" vagy "megközelítőleg élő" anyagot - így például videofelvételt - használnak, amelyet kamera vagy hasonló funkciójú más eszköz készített. Az "utólagos" rendszerek esetében ezzel szemben a biometrikus adatokat már rögzítették, és az összevetésre és az azonosításra csak jelentős késleltetéssel kerül sor. Olyan anyagokról van szó, mint például a zártláncú televíziós kamerák vagy magánkészülékek által készített képek vagy videofelvételek, amelyek a rendszer érintett természetes személyek tekintetében történő használata előtt keletkeztek.
(18) Az "érzelemfelismerő rendszer" e rendeletben szereplő fogalmát olyan MI-rendszerként kell meghatározni, amely arra szolgál, hogy biometrikus adataik alapján azonosítsa vagy kikövetkeztesse természetes személyek érzelmeit vagy szándékait. A fogalom érzelemre vagy szándékra utal, mint például a következőkre: boldogság, szomorúság, düh, meglepettség, undor, zavar, izgatottság, szégyen, megvetés, elégedettség és derű. Nem foglalja magában a fizikai állapotokat, így például a fájdalmat vagy a kimerültséget, ideértve például az olyan rendszereket, amelyeket hivatásos pilóták vagy járművezetők kimerültségi állapotának detektálására használnak balesetek megelőzése céljából. Ez nem foglalja magában az egyértelműen nyilvánvaló kifejezések, gesztusok vagy mozdulatok puszta detektálását sem, kivéve, ha azokat érzelmek azonosítására vagy kikövetkeztetésére használják. Az említett kifejezések lehetnek alapvető arckifejezések, így például rosszalló tekintet vagy mosoly, vagy gesztusok, így például a kezek, a karok vagy a fej mozgatása, vagy egy személy hangjának jellemzői is, így például a felemelt hang vagy a suttogás.
(19) E rendelet alkalmazásában a "nyilvánosság számára hozzáférhető hely" fogalma alatt bármely olyan fizikai hely értendő, amely meghatározatlan számú természetes személy számára hozzáférhető, függetlenül attól, hogy a szóban forgó hely magán- vagy köztulajdonban van-e, és függetlenül attól a tevékenységtől, amelyre a hely használható, mint például kereskedelemre, például üzletek, éttermek, kávézók, szolgáltatásokra, például bankok, szakmai tevékenységek, vendéglátás, sportra például uszodák, edzőtermek, stadionok, közlekedésre, például busz-, metró- és vasútállomások, repülőterek, közlekedési eszközök, szórakoztatásra például mozik, színházak, múzeumok, koncert- és konferenciatermek, illetve szabadidőre vagy egyébre, például közutak és terek, parkok, erdők, játszóterek. Helyénvaló, hogy egy hely akkor is a nyilvánosság számára hozzáférhetőnek minősüljön, ha az esetleges kapacitási vagy biztonsági korlátozásoktól függetlenül a belépésre bizonyos előre meghatározott olyan feltételek vonatkoznak, amelyeket meghatározatlan számú személy teljesíthet, mint például jegy vagy vonaljegy megvásárlása, előzetes regisztráció vagy bizonyos életkori korlátozás. Ezzel szemben egy hely nem tekinthető a nyilvánosság számára hozzáférhetőnek, ha a hozzáférés a közbiztonsághoz vagy -védelemhez közvetlenül kapcsolódó uniós vagy nemzeti jog alapján vagy az adott helyen hatáskörrel rendelkező személy akaratának egyértelmű kinyilvánítása révén konkrét és meghatározott természetes személyekre korlátozódik. Önmagában a hozzáférés tényleges lehetősége, így például egy záratlan ajtó vagy egy kerítésben lévő nyitott kapu nem jelenti azt, hogy a hely a nyilvánosság számára hozzáférhető az ennek ellenkezőjére utaló jelölések vagy a körülmények, így például belépést tiltó vagy korlátozó táblák megléte esetén. A vállalati és gyárhelyiségek, valamint azok az irodák és munkahelyek, ahová csak az érintett munkavállalók és szolgáltatók léphetnek be, a nyilvánosság számára nem hozzáférhető helyek. Helyénvaló, hogy a börtönök és a határellenőrzési területek ne tartozzanak a nyilvánosság számára hozzáférhető helyek közé. Néhány más terület mind a nyilvánosság számára nem hozzáférhető területeket, mind a nyilvánosság számára hozzáférhető területeket is jelenthet, mint például egy magántulajdonú lakóház folyosója, amelyen keresztül egy orvosi rendelőt lehet megközelíteni, vagy egy repülőtér. Az online terek nem tartoznak ide, mivel nem fizikai helyek. Azt, hogy egy adott hely hozzáférhető-e a nyilvánosság számára, mindazonáltal eseti alapon kell meghatározni, figyelembe véve a szóban forgó egyedi helyzet sajátosságait.
(20) Az MI-rendszerek lehető legnagyobb mértékű - és az alapvető jogok, az egészség és a biztonság védelme mellett megvalósuló - kiaknázása, valamint az MI-rendszerek feletti demokratikus ellenőrzés lehetővé tétele érdekében, az MI-jártasság részeként biztosítani kell a szolgáltatók, az alkalmazók és az érintett személyek számára az ahhoz szükséges ismereteket, hogy megalapozott döntéseket tudjanak hozni az MI-rendszerekkel kapcsolatban. Az említett ismeretek az adott kontextustól függően változhatnak, és magukban foglalhatják például a technikai elemek MI-rendszer fejlesztési szakasza alatti helyes alkalmazásának a megértését, az MI-rendszer használata során alkalmazandó intézkedéseket, az MI-rendszer kimenetének megfelelő értelmezési módjait, valamint - az érintett személyek esetében - az annak megértéséhez szükséges ismereteket, hogy az MI segítségével hozott döntések hogyan lesznek hatással rájuk. E rendelet alkalmazásával összefüggésben az MI-jártasságnak szavatolnia kell, hogy az MI-értékláncon belüli valamennyi releváns szereplő rendelkezzen e rendelet megfelelő betartásának és helyes érvényesítésének biztosításhoz szükséges tudással. Továbbá, az MI-jártassághoz kapcsolódó intézkedések széles körű végrehajtása és a megfelelő nyomonkövetési intézkedések bevezetése hozzájárulhatna a munkafeltételek javításához, és végső soron fenntarthatná a megbízható MI konszolidációját és innovációs pályáját az Unióban. A Mesterséges Intelligenciával Foglalkozó Európai Testületnek (a továbbiakban: a Testület) támogatnia kell a Bizottságot az MI-jártassághoz kapcsolódó eszközök népszerűsítésében, valamint az MI-rendszerek használatával kapcsolatos, a nyilvánosságot célzó figyelemfelkeltő tevékenységeknek és az MI-rendszerek használatával kapcsolatos előnyök, kockázatok, biztosítékok, jogok és kötelezettségek megértésének az előmozdításában. A Bizottságnak és a tagállamoknak - az érintett érdekelt felekkel együttműködésben - elő kell segíteniük olyan önkéntes magatartási kódexek kidolgozását, amelyek célja az MI-jártasság előmozdítása a mesterséges intelligencia fejlesztésével, működtetésével és használatával foglalkozó személyek körében.
(21) Az egyenlő versenyfeltételek biztosítása, valamint az egyének jogainak és szabadságainak Unió-szerte történő hatékony védelme érdekében az e rendeletben megállapított szabályokat megkülönböztetésmentes módon kell alkalmazni az MI-rendszerek szolgáltatóira, függetlenül attól, hogy az Unióban vagy harmadik országban letelepedett szolgáltatók-e, valamint az MI-rendszerek Unióban letelepedett alkalmazóira.
(22) Digitális jellegükre tekintettel egyes MI-rendszereknek akkor is e rendelet hatálya alá kell tartozniuk, ha azokat nem hozzák forgalomba, nem helyezik üzembe vagy nem használják az Unióban. Ez a helyzet például abban az esetben, amikor egy, az Unióban letelepedett gazdasági szereplő bizonyos szolgáltatásokra egy harmadik országban letelepedett gazdasági szereplővel köt szerződést egy olyan MI-rendszer által végzendő tevékenységgel kapcsolatban, amely nagy kockázatúnak minősülne. Ilyen körülmények között a gazdasági szereplő által egy harmadik országban használt MI-rendszer az Unióban jogszerűen gyűjtött és az Unióból továbbított adatokat kezelhet, és az említett MI-rendszer által az említett adatkezelés nyomán előállított adatokat az Unióban működő, vele szerződést kötött gazdasági szereplő rendelkezésére bocsáthatja, anélkül, hogy az említett MI-rendszert forgalomba hoznák, üzembe helyeznék vagy használnák az Unióban. E rendelet kijátszásának megelőzése és az Unióban tartózkodó természetes személyek hatékony védelmének biztosítása érdekében ezt a rendeletet MI-rendszerek harmadik országban letelepedett szolgáltatóira és alkalmazóira is alkalmazni kell, amennyiben az e rendszerek által előállított kimeneteket az Unión belüli használatra szánják. Mindazonáltal a meglévő megállapodások és az azon külföldi partnerekkel való jövőbeli együttműködés iránti különleges igény figyelembevétele érdekében, amelyekkel információ- és bizonyítékcserére kerül sor, e rendelet nem alkalmazandó a harmadik országok hatóságaira és nemzetközi szervezetekre, amennyiben azok együttműködési keretben vagy az Unióval vagy a tagállamokkal folytatott bűnüldözési és igazságügyi együttműködésre vonatkozó - uniós vagy nemzeti szinten kötött - nemzetközi megállapodások keretében járnak el, feltéve, hogy a releváns harmadik ország vagy nemzetközi szervezet megfelelő biztosítékokat nyújt az egyének alapvető jogainak és szabadságainak védelme tekintetében. Ez adott esetben a harmadik országok által az ilyen bűnüldözési és igazságügyi együttműködést támogató konkrét feladatok elvégzésével megbízott szervezetek tevékenységeire is kiterjedhet. Az ilyen együttműködési keret vagy megállapodások kétoldalúan jöttek létre a tagállamok és harmadik országok között, vagy az Európai Unió, az Europol és más uniós ügynökségek, valamint harmadik országok és nemzetközi szervezetek között. A bűnüldöző és igazságügyi hatóságok e rendelet szerinti felügyeletét ellátó illetékes hatóságoknak értékelniük kell, hogy az említett együttműködési keretek vagy nemzetközi megállapodások megfelelő biztosítékokat foglalnak-e magukban az egyének alapvető jogainak és szabadságainak védelme tekintetében. Azon fogadó nemzeti hatóságoknak, valamint azon uniós intézményeknek, szerveknek és hivataloknak, amelyek az Unióban ilyen kimeneteket használnak fel, továbbra is elszámoltathatóknak kell lenniük annak biztosítása tekintetében, hogy a kimenetek felhasználása megfeleljen az uniós jognak. Amikor az említett nemzetközi megállapodásokat a jövőben módosítják, vagy helyettük újakat kötnek, a szerződő feleknek minden tőlük telhetőt meg kell tenniük annak érdekében, hogy az említett megállapodásokat összhangba hozzák e rendelet követelményeivel.
(23) Ezt a rendeletet az uniós intézményekre, szervekre és hivatalokra is alkalmazni kell, amennyiben azok MI-rendszer szolgáltatójaként vagy alkalmazójaként járnak el.
(24) Ha és amennyiben az MI-rendszereket katonai, védelmi vagy nemzetbiztonsági célokra hozzák forgalomba, helyezik üzembe vagy használják módosítással vagy anélkül, azokat ki kell zárni e rendelet hatálya alól, függetlenül attól, hogy az említett tevékenységeket milyen típusú szervezet végzi, így például attól, hogy közjogi vagy magánjogi szervezetről van-e szó. Ami a katonai és védelmi célokat illeti, az ilyen kizárást mind az EUSZ 4. cikkének (2) bekezdése, mind az EUSZ V. címe 2. fejezetének hatálya alá tartozó tagállami és közös uniós védelmi politikának a nemzetközi közjog hatálya alá tartozó sajátosságai indokolják; ez utóbbi tehát a megfelelőbb jogi keret az MI-rendszereknek a halálos erő alkalmazásával összefüggésben, valamint más MI-rendszereknek a katonai és védelmi tevékenységekkel összefüggésben történő szabályozásához. Ami a nemzetbiztonsági célokat illeti, a kizárást indokolja mind az a tény, hogy a nemzetbiztonság az EUSZ 4. cikke (2) bekezdésének megfelelően továbbra is a tagállamok kizárólagos felelőssége, mind a nemzetbiztonsági tevékenységek sajátos jellege és operatív szükségletei, valamint az e tevékenységekre alkalmazandó különös nemzeti szabályok. Mindazonáltal, ha egy katonai, védelmi vagy nemzetbiztonsági célokra kifejlesztett, forgalomba hozott, üzembe helyezett vagy használt MI-rendszert ideiglenesen vagy tartósan más - például polgári vagy humanitárius, bűnüldözési vagy közbiztonsági - célokra használnak, az ilyen rendszer e rendelet hatálya alá tartozik. Ebben az esetben az MI-rendszert nem katonai, védelmi vagy nemzetbiztonsági célokra használó szervezetnek biztosítania kell az MI-rendszer e rendeletnek való megfelelését, kivéve, ha a rendszer már megfelel e rendeletnek. A kizárt - nevezetesen katonai, védelmi vagy nemzetbiztonsági - célból és egy vagy több nem kizárt - például polgári vagy bűnüldözési - célból forgalomba hozott vagy üzembe helyezett MI-rendszerek e rendelet hatálya alá tartoznak, és e rendszerek szolgáltatóinak biztosítaniuk kell az e rendeletnek való megfelelést. Ezekben az esetekben az a tény, hogy egy MI-rendszer e rendelet hatálya alá tartozhat, nem érintheti azt a lehetőséget, hogy a nemzetbiztonsági, védelmi és katonai tevékenységeket végző szervezetek - az e tevékenységeket végző szervezet típusától függetlenül - olyan MI-rendszereket használjanak nemzetbiztonsági, katonai és védelmi célokra, amelyek használata nem tartozik e rendelet hatálya alá. Azon polgári vagy bűnüldözési célból forgalomba hozott MI-rendszerek, amelyeket módosítással vagy módosítás nélkül katonai, védelmi vagy nemzetbiztonsági célokra használnak, nem tartozhatnak e rendelet hatálya alá, függetlenül az említett tevékenységeket végző szervezet típusától.
(25) E rendeletnek támogatnia kell az innovációt, tiszteletben kell tartania a tudomány szabadságát, és nem szabad aláásnia a kutatás-fejlesztési tevékenységeket. Ezért ki kell zárni a hatálya alól a kifejezetten és kizárólag tudományos kutatás-fejlesztés céljából kifejlesztett és üzembe helyezett MI-rendszereket. Továbbá biztosítani kell, hogy e rendelet egyéb módon se befolyásolja az MI-rendszerekre vagy -modellekre irányulóan végzett tudományos kutatás-fejlesztési tevékenységet azok forgalomba hozatalát vagy üzembe helyezését megelőzően. Ami az MI-rendszerekkel vagy -modellekkel kapcsolatos termékorientált kutatási, tesztelési és fejlesztési tevékenységeket illeti, e rendelet rendelkezései szintén nem alkalmazandók az említett rendszerek és modellek forgalomba hozatalát vagy üzembe helyezését megelőzően. Az említett kizárás nem érinti az e rendeletnek való megfelelésre vonatkozó kötelezettséget, amennyiben az e rendelet hatálya alá tartozó MI-rendszert ilyen kutatás-fejlesztési tevékenység eredményeként hozzák forgalomba vagy helyezik üzembe, valamint nem érinti az MI szabályozói tesztkörnyezetekre és a valós körülmények közötti tesztelésre vonatkozó rendelkezések alkalmazását. Továbbá, a kifejezetten tudományos kutatás-fejlesztés céljából kifejlesztett és üzembe helyezett MI-rendszerek kizárásának sérelme nélkül, minden egyéb olyan MI-rendszerre, amely kutatás-fejlesztési tevékenység végzésére használható, továbbra is e rendelet rendelkezéseinek kell vonatkozniuk. Mindenesetre bármely kutatás-fejlesztési tevékenységet a tudományos kutatásra vonatkozó elismert etikai és szakmai normáknak megfelelően kell végezni, és az alkalmazandó uniós jognak megfelelően kell folytatni.
(26) Az MI-rendszerekre vonatkozó, kötelező erejű szabályok arányos és hatékony rendszerének bevezetése érdekében egyértelműen meghatározott, kockázatalapú megközelítést kell alkalmazni. E megközelítés keretében az ilyen szabályok típusát és tartalmát hozzá kell igazítani az MI-rendszerek által keltett kockázatok intenzitásához és nagyságrendjéhez. Ezért meg kell tiltani bizonyos elfogadhatatlan MI-gyakorlatokat, míg a nagy kockázatú MI-rendszerekre vonatkozóan követelményeket, az érintett gazdasági szereplőkre vonatkozóan pedig kötelezettségeket kell megállapítani, valamint átláthatósági kötelezettségeket kell előírni bizonyos MI-rendszerek tekintetében.
(27) Bár a kötelező erejű szabályok arányos és hatékony rendszerének alapját a kockázatalapú megközelítés képezi, fontos emlékeztetni a Bizottság által kinevezett független magas szintű MI-szakértői csoport által a megbízható mesterséges intelligenciára vonatkozóan 2019-ben kidolgozott etikai iránymutatásokra. A magas szintű MI-szakértői csoport ezekben az iránymutatásokban hét nem kötelező erejű etikai elvet dolgozott ki a mesterséges intelligenciára vonatkozóan, amelyek célja, hogy segítsék biztosítani a mesterséges intelligencia megbízhatóságát és etikai megalapozottságát. A hét elv a következő: emberi cselekvőképesség és felügyelet; műszaki stabilitás és biztonság; a magánélet védelme és adatkormányzás; átláthatóság; sokszínűség, a megkülönböztetés tilalma és méltányosság; társadalmi és környezeti jóllét; valamint elszámoltathatóság. Az említett iránymutatások - e rendelet jogilag kötelező érvényű követelményeinek és bármely egyéb alkalmazandó uniós jognak a sérelme nélkül - hozzájárulnak a koherens, megbízható és emberközpontú mesterséges intelligenciának a Chartával és az Unió alapját képező értékekkel összhangban történő kidolgozásához. A magas szintű MI-szakértői csoport iránymutatásai szerint az emberi cselekvőképesség és felügyelet azt jelenti, hogy az MI-rendszereket olyan eszközként kell fejleszteni és használni, amely az embereket szolgálja, tiszteletben tartja az emberi méltóságot és a személyes autonómiát, és amely úgy működik, hogy ember által megfelelő módon ellenőrizhető és felügyelhető legyen. A műszaki stabilitás és biztonság azt jelenti, hogy az MI-rendszereket úgy kell fejleszteni és használni, ami lehetővé teszi a stabilitást a problémák esetén, és a rezilienciát az MI-rendszer használatának vagy teljesítményének a harmadik felek általi jogellenes felhasználás lehetővé tétele érdekében történő megváltoztatására irányuló kísérletekkel szemben, továbbá a nem szándékos károkozás minimálisra csökkentését. A magánélet védelme és az adatkormányzás azt jelenti, hogy az MI-rendszereket a magánélet védelmére vonatkozó és az adatvédelmi szabályokkal összhangban kell fejleszteni és használni, miközben az adatok kezelésének magas szintű minőségi és integritási standardoknak kell megfelelnie. Az átláthatóság azt jelenti, hogy az MI-rendszereket olyan módon kell fejleszteni és használni, amely lehetővé teszi a megfelelő nyomonkövethetőséget és megmagyarázhatóságot, miközben tudatosítja az emberekben, hogy MI-rendszerrel kommunikálnak vagy lépnek kapcsolatba, valamint megfelelően tájékoztatja az alkalmazókat az MI-rendszer képességeiről és korlátairól, az érintett személyeket pedig jogaikról. A sokszínűség, a megkülönböztetés tilalma és a méltányosság azt jelenti, hogy az MI-rendszereket úgy kell fejleszteni és használni, hogy abba bevonják a különböző szereplőket, valamint hogy annak során előmozdítják az egyenlő hozzáférést, a nemek közötti egyenlőséget és a kulturális sokszínűséget, elkerülve mindeközben az uniós vagy a nemzeti jog által tiltott diszkriminatív hatásokat és méltánytalan torzításokat. A társadalmi és környezeti jóllét azt jelenti, hogy az MI-rendszereket fenntartható és környezetbarát módon kell fejleszteni és használni, valamint úgy, hogy az minden ember javát szolgálja, figyelemmel kísérve és felmérve mindeközben az egyénre, a társadalomra és a demokráciára gyakorolt hosszú távú hatásokat. Az említett elvek alkalmazását lehetőség szerint át kell ültetni az MI-modellek tervezésébe és használatába. Azoknak minden esetben alapul kell szolgálniuk az e rendelet szerinti magatartási kódexek kidolgozásához. Valamennyi érdekelt fél - ideértve az ipart, a tudományos köröket, a civil társadalmat és a szabványügyi szervezeteket is - ösztönözve van arra, hogy az önkéntes legjobb gyakorlatok és szabványok kidolgozásához adott esetben vegye figyelembe az etikai elveket.
(28) A mesterséges intelligencia számos hasznos felhasználási módja mellett, azt rendellenesen is fel lehet használni, valamint új és hatékony eszközöket biztosíthat manipulatív, kizsákmányoló és társadalmi ellenőrzési gyakorlatokhoz. Az ilyen gyakorlatok különösen károsak és visszaélésszerűek, és meg kell tiltani őket, mivel ellentétesek az emberi méltóság tiszteletben tartása, a szabadság, az egyenlőség, a demokrácia és a jogállamiság uniós értékeivel, továbbá a Chartában rögzített alapvető jogokkal, ideértve a megkülönböztetésmentességhez, az adatvédelemhez és a magánélet tiszteletben tartásához való jogot, valamint a gyermek jogait is.
(29) Az MI-n alapuló manipulatív technikák felhasználhatók arra, hogy nem kívánt magatartásformákra vegyék rá az embereket, vagy megtévesszék őket azáltal, hogy oly módon ösztönzik őket döntésekre, amely aláássa és csorbítja autonómiájukat, döntéshozatalukat és szabad választásukat. Az olyan MI-rendszerek forgalomba hozatala, üzembe helyezése vagy használata, amelyek célja vagy hatása az emberi magatartás jelentős mértékű olyan torzítása, amely valószínűleg jelentős károkkal, így különösen a testi, pszichológiai egészségre vagy a pénzügyi érdekekre nézve kellően jelentős kedvezőtlen hatásokkal jár, rendkívül veszélyes, és ezért azt be kell tiltani. Az ilyen MI-rendszerek olyan szubliminális alkotóelemeket - például hang-, képi és videoingereket - alkalmaznak, amelyeket a személyek nem képesek észlelni, mivel az említett ingerek túlmutatnak az emberi észlelésen, vagy más olyan manipulatív vagy megtévesztő technikákat használnak, amelyek úgy ássák alá vagy csorbítják a személy autonómiáját, döntéshozatalát vagy szabad választását, hogy az említett technikáknak az emberek nincsenek tudatában, vagy ha tudatában vannak is azoknak, az embereket mégis megtéveszthetik, vagy nem képesek azokat irányítani, vagy azoknak ellenállni. Ezt elősegíthetik például a gép-agy interfészek vagy a virtuális valóság, mivel azok nagyobb fokú ellenőrzést tesznek lehetővé afelett, hogy milyen ingerek kerüljenek megjelenítésre a személyeknek, amennyiben ezek az ingerek érdemben és jelentősen káros módon torzíthatják viselkedésüket. Emellett az MI-rendszerek más módon is kihasználhatják adott személynek vagy személyek egy adott csoportjának az életkoruk, az (EU) 2019/882 európai parlamenti és tanácsi irányelv* értelmében vett fogyatékosságuk vagy olyan sajátos társadalmi vagy gazdasági helyzetük miatti sebezhetőségét, amely valószínűleg kiszolgáltatottabbá teszi őket - például a mélyszegénységben élőket, az etnikai vagy vallási kisebbségeket - a kizsákmányolással szemben. Az ilyen MI-rendszerek forgalomba hozhatók, üzembe helyezhetők vagy felhasználhatók azzal a céllal vagy azzal a hatással, hogy jelentősen torzítsák egy személy viselkedését, és oly módon, hogy az az említett személynek vagy egy másik személynek vagy személyek csoportjainak jelentős kárt okoz, vagy észszerű valószínűséggel okozhat jelentős kárt, ideértve az idővel esetlegesen felhalmozódó károkat is, és ezért azt be kell tiltani. Előfordulhat, hogy nem lehetséges a magatartás torzítására irányuló szándék vélelmezése, amikor a torzulás az MI-rendszeren kívüli olyan tényezőkből ered, amelyek kívül esnek a szolgáltató vagy az alkalmazó befolyásán, nevezetesen olyan tényezőkből, amelyek észszerűen nem előreláthatóak, és amelyeket ezért az MI-rendszer szolgáltatója vagy alkalmazója nem tud mérsékelni. Mindenesetre nem szükséges, hogy a szolgáltató vagy az alkalmazó szándékosan okozzon jelentős kárt, feltéve, hogy az ilyen kár a manipulatív vagy kizsákmányoló MI-n alapuló gyakorlatokból ered. Az ilyen MI-gyakorlatokra vonatkozó tilalmak kiegészítik a 2005/29/EK európai parlamenti és tanácsi irányelvben** foglalt rendelkezéseket, különösen azt, hogy a fogyasztóknak gazdasági vagy pénzügyi kárt okozó tisztességtelen kereskedelmi gyakorlatok minden körülmények között tilosak, függetlenül attól, hogy azokat MI-rendszereken keresztül vagy más módon valósítják-e meg. A manipulatív és kizsákmányoló gyakorlatok e rendeletben foglalt tilalmai nem érinthetik a gyógykezelés - így például egy mentális betegség pszichológiai kezelése vagy a fizikai rehabilitáció - során alkalmazott jogszerű gyakorlatokat, amennyiben az említett gyakorlatokat az alkalmazandó joggal és orvosi normákkal - például az egyének vagy jogi képviselőik kifejezett hozzájárulásával - összhangban végzik. Emellett az alkalmazandó jognak megfelelő, általános és jogszerű kereskedelmi gyakorlatok - például a reklámok területén - önmagukban nem tekintendők káros manipulatív MI-n alapuló gyakorlatoknak.[10]
(30) Be kell tiltani a természetes személyek biometrikus adatain - például adott személy arcán vagy ujjnyomatán - alapuló olyan biometrikus kategorizálási rendszereket, amelyek célja, hogy levezessék vagy kikövetkeztessék adott egyének politikai véleményét, szakszervezeti tagságát, vallási vagy világnézeti meggyőződését, faji hovatartozását, szexuális életét vagy szexuális irányultságát. Az említett tilalom nem terjedhet ki az uniós vagy nemzeti joggal összhangban beszerzett biometrikus adatkészletek biometrikus adatok szerint történő jogszerű címkézésére, szűrésére vagy kategorizálására, például képek hajszín vagy szemszín szerinti válogatására, ami felhasználható például a bűnüldözés területén.
(31) A természetes személyek állami vagy magánszereplők általi társadalmi pontozását végző MI-rendszerek diszkriminatív eredményekhez és bizonyos csoportok kirekesztéséhez vezethetnek. Az ilyen rendszerek sérthetik a méltósághoz való jogot és a megkülönböztetés tilalmát, valamint az egyenlőség és az igazságosság értékeit. Az ilyen MI-rendszerek a természetes személyeket vagy azok csoportjait a különböző körülmények között tanúsított közösségi magatartásukhoz, illetve ismert, kikövetkeztetett vagy előre jelzett személyes tulajdonságaikhoz vagy személyiségjegyeikhez társított több adatpont alapján értékelik vagy osztályozzák bizonyos időszakokon keresztül. Az ilyen MI-rendszerek által adott társadalmi pontszám a természetes személyekkel vagy azok egész csoportjával szembeni hátrányos vagy kedvezőtlen bánásmódhoz vezethet olyan társadalmi kontextusokban, amelyek nem függenek össze azzal a kontextussal, amelyben az adatok létrehozása vagy gyűjtése történt, vagy olyan hátrányos bánásmódot okozhat, amely az adott személyek közösségi magatartásának súlyosságához képest aránytalan vagy indokolatlan. Az ilyen elfogadhatatlan pontozási gyakorlatokat alkalmazó és ilyen hátrányos vagy kedvezőtlen eredményekhez vezető MI-rendszereket ezért be kell tiltani. Az említett tilalom nem érintheti a természetes személyek azon jogszerű értékelési gyakorlatát, amelyet konkrét célból, az uniós és a nemzeti joggal összhangban végeznek.
(32) Az MI-rendszereknek természetes személyek "valós idejű" távoli biometrikus azonosítására, a nyilvánosság számára hozzáférhető helyeken, bűnüldözés céljából történő használata különösen tolakodó az érintett személyek jogaira és szabadságaira nézve, mivel hatással lehet a lakosság nagy részének magánéletére, az állandó megfigyelés érzetét keltheti, és közvetve visszatarthat a gyülekezési szabadság és más alapvető jogok gyakorlásától. A természetes személyek távoli biometrikus azonosítására szolgáló MI-rendszerek technikai pontatlansága torzított eredményekhez vezethet, és diszkriminatív hatásokat eredményezhet. Az ilyen torzított eredmények és diszkriminatív hatások különösen relevánsak az életkor, az etnikai és a faji hovatartozás, a nem vagy a fogyatékosságok tekintetében. Ezenkívül a hatás azonnali jellege és az ilyen "valós időben" működő rendszerek használatával kapcsolatos további ellenőrzések vagy korrekciók korlátozott lehetőségei fokozott kockázatot jelentenek az érintett személyek jogaira és szabadságaira nézve a bűnüldözési tevékenységekkel összefüggésben vagy azok hatása miatt.
(33) E rendszerek bűnüldözési célú használatát ezért meg kell tiltani, kivéve az olyan, kimerítő jelleggel felsorolt és szűken meghatározott helyzeteket, amelyekben a használat feltétlenül szükséges egy olyan jelentős közérdek érvényesítéséhez, amelynek fontossága meghaladja a kockázatokat. Az említett helyzetek közé tartozik a bűncselekmények bizonyos áldozatainak, köztük az eltűnt személyeknek a felkutatása; a természetes személyek életét vagy fizikai biztonságát fenyegető bizonyos veszélyek vagy a terrortámadás veszélye; valamint az e rendelet egyik mellékletében felsorolt bűncselekmények elkövetőinek vagy gyanúsítottjainak a lokalizálása vagy azonosítása, amennyiben az említett bűncselekmények esetében az érintett tagállamban a büntetési tétel felső határa legalább négyévi szabadságvesztés vagy szabadságelvonással járó intézkedés, és ahogyan az említett bűncselekményeket az említett tagállam joga meghatározza. A szabadságvesztés vagy szabadságelvonással járó intézkedés nemzeti joggal összhangban álló e küszöbértéke hozzájárul annak biztosításához, hogy a bűncselekmény kellően súlyos legyen ahhoz, hogy potenciálisan indokolhassa a "valós idejű" távoli biometrikus azonosító rendszerek használatát. Ezenfelül az e rendelet egyik mellékletében foglalt bűncselekménylista a 2002/584/IB tanácsi kerethatározatban* felsorolt 32 bűncselekményen alapul, figyelembe véve azt, hogy az említett bűncselekmények közül néhány a gyakorlatban valószínűleg relevánsabb, mint mások, azaz a "valós idejű" távoli biometrikus azonosítás alkalmazása előreláthatóan rendkívül eltérő mértékben szükséges és arányos eszköz lehet a felsorolt különböző bűncselekmények elkövetőinek vagy gyanúsítottjainak lokalizálására vagy azonosítására irányuló gyakorlati lépések tekintetében, továbbá figyelemmel a kár vagy az esetleges negatív következmények súlyossága, valószínűsége és mértéke terén fennálló valószínűsíthető különbségekre. Természetes személyek életét vagy testi biztonságát fenyegető közvetlen veszély az (EU) 2022/2557 európai parlamenti és tanácsi irányelv** 2. cikkének 4. pontjában meghatározottak szerinti kritikus infrastruktúrát érintő súlyos zavarokból is fakadhat, amennyiben az ilyen kritikus infrastruktúra megzavarása vagy megsemmisítése közvetlen veszélyt jelentene egy személy életére vagy testi biztonságára, többek között az alapvető ellátások lakosság számára történő biztosítására vagy az állam alapvető funkciói gyakorlására gyakorolt súlyos kár révén. Emellett e rendeletnek fenn kell tartania a bűnüldöző, határellenőrzési, bevándorlási vagy menekültügyi hatóságok azon képességét, hogy az érintett személy jelenlétében személyazonosság-ellenőrzést végezzenek az ilyen ellenőrzésekre vonatkozóan az uniós és a nemzeti jogban meghatározott feltételekkel összhangban. Így különösen, lehetővé kell tenni a bűnüldöző, határellenőrzési, bevándorlási vagy menekültügyi hatóságok számára, hogy - anélkül, hogy e rendelet előzetes engedély beszerzésére kötelezné őket -, az uniós vagy a nemzeti joggal összhangban információs rendszereket használjanak azon személyek azonosítására, akik a személyazonosság-ellenőrzés során vagy megtagadják az azonosítást, vagy képtelenek nyilatkozni személyazonosságukról vagy igazolni azt. Ez lehet például olyan, bűncselekményben érintett személy, aki a bűnüldöző hatóságoknak nem hajlandó felfedni a személyazonosságát, vagy aki baleset vagy egészségi állapota miatt képtelen erre.[11]
(34) Annak érdekében, hogy e rendszerek használata felelős és arányos módon történjen, azt is fontos megállapítani, hogy e kimerítő jelleggel felsorolt és szűken meghatározott helyzetek mindegyikében figyelembe kell venni bizonyos tényezőket, különösen a kérelem alapjául szolgáló helyzet jellegét és a használat valamennyi érintett személy jogaira és szabadságaira gyakorolt következményeit, valamint a használathoz előírt biztosítékokat és feltételeket. Ezen túlmenően a "valós idejű" távoli biometrikus azonosító rendszerek nyilvánosság számára hozzáférhető helyeken, bűnüldözés céljából történő használata kizárólag a konkrét célszemély személyazonosságának megerősítése érdekében indítható el, és azt az időtartam, valamint a földrajzi és személyi hatály tekintetében a feltétlenül szükséges mértékre kell korlátozni, különös tekintettel a fenyegetésekkel, az áldozattokkal vagy az elkövetőkkel kapcsolatos bizonyítékokra vagy jelzésekre. A valós idejű távoli biometrikus azonosító rendszerek nyilvánosság számára hozzáférhető helyeken történő használata csak akkor engedélyezhető, ha a releváns bűnüldöző hatóság elvégezte az alapvetőjogi hatásvizsgálatot, és - amennyiben e rendelet másként nem rendelkezik - nyilvántartásba vette a rendszert az e rendeletben meghatározott adatbázisban. A személyek referencia-adatbázisának a fent említett helyzetek mindegyikében megfelelőnek kell lennie minden egyes felhasználási eset vonatkozásában.
(35) A "valós idejű" távoli biometrikus azonosító rendszerek nyilvánosság számára hozzáférhető helyeken, bűnüldözés céljából történő használatához minden esetben valamely tagállam igazságügyi hatóságának vagy független közigazgatási hatóságának kifejezett és egyedi engedélye szükséges, amelynek határozata kötelező érvényű. Az ilyen engedélyt elvben az MI-rendszer egy vagy több személy azonosítása céljából történő használata előtt kell beszerezni. Az említett szabály alól sürgősségi alapon kivételt lehet tenni kellően indokolt esetekben, nevezetesen olyan esetekben, amikor az érintett rendszerek használatának szükségessége ténylegesen és objektíve lehetetlenné teszi az engedély megszerzését az MI-rendszer használatának megkezdése előtt. Az ilyen sürgős helyzetekben az MI-rendszer használatát a feltétlenül szükséges minimumra kell korlátozni, és arra a nemzeti jogban megállapított és maga a bűnüldöző hatóság által az egyes sürgős felhasználási esetek kapcsán meghatározott megfelelő biztosítékokat és feltételeket kell alkalmazni. Ezen túlmenően a bűnüldöző hatóságnak ilyen helyzetekben indokolatlan késedelem nélkül és legkésőbb 24 órán belül kérelmeznie kell az engedélyt, és egyúttal meg kell indokolnia, hogy miért nem volt lehetősége arra, hogy azt korábban megkérje. Ilyen engedély megtagadása esetén a valós idejű biometrikus azonosító rendszereknek az adott engedélyhez kapcsolódó használatát azonnali hatállyal le kell állítani, és az e használathoz kapcsolódó valamennyi adatot el kell vetni és törölni kell. Az ilyen adatok magukban foglalják a valamely MI-rendszer által az említett rendszer használata során közvetlenül szerzett bemeneti adatokat, valamint az említett engedélyhez kapcsolódó használat eredményeit és kimeneteit. Nem foglalják magukban a valamely más uniós vagy nemzeti jogszabállyal összhangban jogszerűen szerzett bemeneteket. Kizárólag a távoli biometrikus azonosító rendszer kimenete alapján semmi esetre sem hozható olyan döntés, amely egy személyre nézve kedvezőtlen joghatással jár.
(36) Annak érdekében, hogy az érintett piacfelügyeleti hatóság és a nemzeti adatvédelmi hatóság az e rendeletben meghatározott követelményekkel és a nemzeti szabályokkal összhangban elláthassa feladatait, e hatóságokat értesíteni kell a valós idejű biometrikus azonosító rendszer minden egyes használatáról. Azon piacfelügyeleti hatóságoknak és nemzeti adatvédelmi hatóságoknak, amelyek értesítést kaptak, évente jelentést kell benyújtaniuk a Bizottságnak a valós idejű biometrikus azonosító rendszerek használatáról.
(37) Továbbá, helyénvaló - az e rendeletben meghatározott kimerítő keretek között - előírni, hogy az ilyen használat egy tagállam területén e rendelettel összhangban csak akkor és annyiban legyen lehetséges, ha és amennyiben az érintett tagállam úgy határozott, hogy nemzeti jogának részletes szabályaiban kifejezetten rendelkezik az ilyen használat engedélyezésének lehetőségéről. Következésképpen a tagállamok e rendelet értelmében továbbra is szabadon dönthetnek arról, hogy egyáltalán nem, vagy csak az e rendeletben meghatározott engedélyezett használat indokolására alkalmas bizonyos célkitűzések tekintetében rendelkeznek ilyen lehetőségről. Az ilyen nemzeti szabályokról az elfogadásuktól számított 30 napon belül értesíteni kell a Bizottságot.
(38) Az MI-rendszerek természetes személyek valós idejű távoli biometrikus azonosítására, a nyilvánosság számára hozzáférhető helyeken, bűnüldözés céljából történő használata szükségszerűen magában foglalja biometrikus adatok feldolgozását. E rendelet azon, az EUMSZ 16. cikkén alapuló szabályait, amelyek - bizonyos kivételekre is figyelemmel - tiltják az ilyen használatot, lex specialis-ként kell alkalmazni az (EU) 2016/680 irányelv 10. cikkében foglalt, a biometrikus adatok kezelésére vonatkozó szabályok tekintetében, ennélfogva ezek kimerítően szabályozzák az ilyen használatot és az érintett biometrikus adatok kezelését. Ezért az ilyen használat és adatkezelés csak annyiban lehetséges, amennyiben összeegyeztethető az e rendeletben meghatározott kerettel, és nincs lehetőség arra, hogy e kereten kívül az illetékes hatóságok - amennyiben bűnüldözési célból járnak el - az (EU) 2016/680 irányelv 10. cikkében felsorolt okokból használják az ilyen rendszereket és kezeljék a kapcsolódó adatokat. Ebben az összefüggésben e rendeletnek nem célja, hogy jogalapot biztosítson a személyes adatoknak az (EU) 2016/680 irányelv 8. cikke szerinti kezeléséhez. A valós idejű távoli biometrikus azonosító rendszerek nyilvánosság számára hozzáférhető helyeken, bűnüldözési céloktól eltérő célokra történő, többek között az illetékes hatóságok általi használatára azonban nem terjedhet ki az e rendeletben meghatározott, a bűnüldözési célú használatra vonatkozó különös keret. Az ilyen, nem bűnüldözési célú használat ezért nem köthető az e rendelet szerinti, engedéllyel kapcsolatos követelményhez és a nemzeti jog azon alkalmazandó, részletes szabályaihoz, amelyek az említett engedélyt érvényre juttathatják.
(39) A biometrikus adatok és az MI-rendszerek biometrikus azonosítás céljából történő használatával érintett egyéb személyes adatok kezelésének - a valós idejű távoli biometrikus azonosító rendszerek nyilvánosság számára hozzáférhető helyeken, bűnüldözési célból történő, e rendeletben szabályozott használatával összefüggő adatkezelés kivételével - továbbra is meg kell felelnie az (EU) 2016/680 irányelv 10. cikkéből eredő valamennyi követelménynek. A bűnüldözéstől eltérő célok esetében az (EU) 2016/679 rendelet 9. cikkének (1) bekezdése és az (EU) 2018/1725 rendelet 10. cikkének (1) bekezdése az említett cikkekben meghatározott korlátozott körű kivételek mellett tiltja a biometrikus adatok kezelését. Az (EU) 2016/679 rendelet 9. cikke (1) bekezdésének alkalmazásában nemzeti adatvédelmi hatóságok már hoztak a távoli biometrikus azonosítás bűnüldözéstől eltérő célokra történő használatának tiltására vonatkozó határozatokat.
(40) Az EUSZ-hez és az EUMSZ-hez csatolt, az Egyesült Királyságnak és Írországnak a szabadságon, a biztonságon és a jog érvényesülésén alapuló térség tekintetében fennálló helyzetéről szóló 21. jegyzőkönyv 6a. cikkével összhangban Írországot nem kötelezik az EUMSZ 16. cikke alapján elfogadott, az e rendelet 5. cikke (1) bekezdése első albekezdésének g) pontjában - amennyiben az a biometrikus kategorizálási rendszereknek a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés területén végzett tevékenységek céljára történő használatára alkalmazandó -, 5. cikke (1) bekezdése első albekezdésének d) pontjában - amennyiben az az említett rendelkezés hatálya alá tartozó MI-rendszerek használatára alkalmazandó -, 5. cikke (1) bekezdése, első albekezdésének h) pontjában, 5. cikkének (2)-(6) bekezdésében és 26. cikkének (10) bekezdésében meghatározott azon szabályok, amelyek a személyes adatoknak a tagállamok által, az EUMSZ harmadik része V. címe 4. vagy 5. fejezetének alkalmazási körébe tartozó tevékenységek során végzett kezelésére vonatkoznak, amennyiben Írországot nem kötelezik a büntetőügyekben folytatott igazságügyi együttműködés vagy rendőrségi együttműködés formáira vonatkozó olyan szabályok, amelyek megkívánják az EUMSZ 16. cikke alapján meghatározott rendelkezések betartását.
(41) Az EUSZ-hez és az EUMSZ-hez csatolt, Dánia helyzetéről szóló 22. jegyzőkönyv 2. és 2a. cikkével összhangban Dániára nézve nem kötelezőek és nem alkalmazandók az EUMSZ 16. cikke alapján elfogadott, az e rendelet 5. cikke (1) bekezdése első albekezdésének g) pontjában - amennyiben az a biometrikus kategorizálási rendszereknek a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés területén végzett tevékenységek céljára történő használatára alkalmazandó -, 5. cikke (1) bekezdése első albekezdésének d) pontjában - amennyiben az az említett rendelkezés hatálya alá tartozó MI-rendszerek használatára alkalmazandó -, 5. cikke (1) bekezdése első albekezdésének h) pontjában, 5. cikkének (2)-(6) bekezdésében és 26. cikkének (10) bekezdésében meghatározott azon szabályok, amelyek a személyes adatoknak a tagállamok által, az EUMSZ harmadik része V. címe 4. vagy 5. fejezetének alkalmazási körébe tartozó tevékenységek során végzett kezelésére vonatkoznak.
(42) Az ártatlanság vélelmével összhangban az Unióban természetes személyekre vonatkozó döntés minden esetben kizárólag e személyek tényleges magatartása alapján hozható. Természetes személyekre vonatkozó döntés soha nem hozható kizárólag a rájuk vonatkozó profilalkotás, személyiségjegyek vagy tulajdonságok - mint például állampolgárság, születési hely, tartózkodási hely, gyermekek száma, adósságszint vagy gépjármű típusa - alapján MI által előre jelzett magatartás alapján, az adott személy bűncselekményben való részvételére vonatkozó, objektív és ellenőrizhető tényeken nyugvó alapos gyanú nélkül, valamint ezek ember általi értékelése nélkül. Ezért meg kell tiltani a természetes személyekre vonatkozó olyan kockázatértékeléseket, amelyek célja az általuk történő elkövetés valószínűségének értékelése vagy egy tényleges vagy potenciális bűncselekmény bekövetkezésének az előrejelzése kizárólag az e személyekre vonatkozó profilalkotás vagy személyiségjegyeik vagy tulajdonságaik értékelése alapján. Ez a tilalom semmi esetre sem vonatkozik az olyan kockázatelemzésekre, illetve nem érinti azokat, amelyek nem az egyénekre vonatkozó profilalkotáson vagy egyének személyiségjegyein vagy tulajdonságain alapulnak, így például azon MI-rendszerekre, amelyek kockázatelemzést használnak a vállalkozások általi pénzügyi csalás valószínűségének gyanús tranzakciók alapján történő értékelésére, vagy az olyan kockázatelemzési eszközökre, amelyekkel például az ismert csempészútvonalak alapján előre jelezhető, hogy a vámhatóságok milyen valószínűséggel tudják meghatározni kábítószerek vagy tiltott áruk helyét.
(43) Az arcképek internetről vagy zártláncú televízió-felvételekből való, nem célzott lekérdezésével arcfelismerő adatbázisokat létrehozó vagy ilyeneket bővítő MI-rendszerek forgalomba hozatalát, e konkrét célra történő üzembe helyezését vagy használatát tiltani kell, mivel e gyakorlat növeli a tömeges megfigyelés érzését, és az alapvető jogok, többek között a magánélet tiszteletben tartásához való jog súlyos megsértéséhez vezethet.
(44) Az érzelmek azonosítását vagy az azokra való következtetést célzó MI-rendszerek tudományos alapjával kapcsolatban komoly aggályok merültek fel, különösen azért, mert az érzelmek kifejezése jelentősen eltér egymástól kultúránként és helyzetenként, sőt akár egyetlen személy esetében is. Az ilyen rendszerek fő hiányosságai közé tartozik a korlátozott megbízhatóság, a specifikusság hiánya, valamint a korlátozott általánosíthatóság. Ezért az olyan MI-rendszerek, amelyek természetes személyek biometrikus adatai alapján azonosítják a természetes személyek érzelmeit vagy szándékait, illetve következtetnek azokra, diszkriminatív eredményekhez vezethetnek és tolakodóak lehetnek az érintett személyek jogaira és szabadságaira nézve. Tekintettel arra, hogy a munka vagy az oktatás területén az erőviszonyok kiegyensúlyozatlanok, amihez e rendszerek tolakodó jellege társul, az ilyen rendszerek bizonyos természetes személyekkel vagy azok egész csoportjával szemben hátrányos vagy kedvezőtlen bánásmódhoz vezethetnek. Ezért a munkahelyhez és az oktatáshoz kapcsolódó helyzetek összefüggésében meg kell tiltani az egyének érzelmi állapotának felderítésére szánt MI-rendszerek forgalomba hozatalát, üzembe helyezését, illetve használatát. Ez a tilalom nem terjedhet ki a szigorúan orvosi vagy biztonsági okokból forgalomba hozott, például a terápiás használatra szánt MI-rendszerekre.
(45) E rendelet nem érintheti azon gyakorlatokat, amelyeket az uniós jog - többek között az adatvédelmi jog, a megkülönböztetésmentességre vonatkozó jog, a fogyasztóvédelmi jog és a versenyjog - tilt.
(46) A nagy kockázatú MI-rendszerek csak akkor hozhatók forgalomba az Unión belül, helyezhetők üzembe vagy használhatók, ha megfelelnek bizonyos kötelező követelményeknek. E követelményeknek biztosítaniuk kell, hogy azon nagy kockázatú MI-rendszerek, amelyek az Unióban rendelkezésre állnak vagy amelyek kimenetét más módon felhasználják az Unióban, ne jelentsenek elfogadhatatlan kockázatot az uniós jog által elismert és védett fontos uniós közérdekekre nézve. Az új jogszabályi keret alapján, amint azt a termékekre vonatkozó uniós szabályozásról szóló, 2022. évi bizottsági útmutató - "A kék útmutató"* - kifejti, főszabály szerint az uniós harmonizációs jogalkotás több jogi aktusa - így például az (EU) 2017/745** és az (EU) 2017/746 európai parlamenti és tanácsi rendelet*** vagy a 2006/42/EK európai parlamenti és tanácsi irányelv**** - is alkalmazható egyetlen termékre, mivel a forgalmazásra vagy az üzembe helyezésre csak akkor kerülhet sor, ha a termék megfelel valamennyi alkalmazandó uniós harmonizációs jogszabálynak. A következetesség biztosítása és a szükségtelen adminisztratív terhek vagy költségek elkerülése érdekében az olyan termék szolgáltatóinak, amely egy vagy több olyan, nagy kockázatú MI-rendszert tartalmaz, amelyre az e rendeletben és az e rendelet egyik mellékletében felsorolt uniós harmonizációs jogszabályokban foglalt követelmények alkalmazandók, rugalmassággal kell rendelkezniük azon működési döntések tekintetében, hogy miként biztosítsák optimális módon az egy vagy több MI-rendszert tartalmazó termék megfelelését az uniós harmonizációs jogszabályokban foglalt valamennyi alkalmazandó követelménynek. A nagy kockázatúként azonosított MI-rendszereket azon rendszerekre kell limitálni, amelyek jelentős káros hatást gyakorolnak az Unióban élő személyek egészségére, biztonságára és alapvető jogaira, és az ilyen limitálásnak minimálisra kell csökkentenie a nemzetközi kereskedelem potenciális korlátozását.[12]
(47) Az MI-rendszerek kedvezőtlen hatással lehetnek a személyek egészségére és biztonságára, különösen akkor, ha az ilyen rendszerek termékek biztonsági alkotórészeiként működnek. Az uniós harmonizációs jogszabályok azon célkitűzéseivel összhangban, hogy megkönnyítsék a termékek belső piacon való szabad mozgását, valamint biztosítsák, hogy csak biztonságos és más tekintetben megfelelő termékek kerüljenek a piacra, fontos a termék egésze által a digitális alkotóelemei, többek között az MI-rendszerek miatt esetlegesen előidézett biztonsági kockázatok megfelelő megelőzése és enyhítése. Például az - akár gyártással, akár személyes segítségnyújtással és gondozással összefüggésben használt - egyre önállóbb robotoknak képeseknek kell lenniük arra, hogy biztonságosan működjenek és funkcióikat összetett környezetben lássák el. Hasonlóképpen az egészségügyi ágazatban, ahol az élet és az egészség tekintetében különösen nagy a tét, az egyre kifinomultabb diagnosztikai rendszereknek és az emberi döntéseket támogató rendszereknek megbízhatónak és pontosnak kell lenniük.
(48) A Charta által védett alapvető jogokra az MI-rendszer által gyakorolt kedvezőtlen hatás mértéke különösen fontos egy adott MI-rendszer nagy kockázatúként való besorolásakor. Az említett jogok közé tartozik az emberi méltósághoz való jog, a magán- és családi élet tiszteletben tartása, a személyes adatok védelme, a véleménynyilvánítás és a tájékozódás szabadsága, a gyülekezés és az egyesülés szabadsága, a megkülönböztetésmentességhez való jog, az oktatáshoz való jog, a fogyasztóvédelem, a munkavállalók jogai, a fogyatékossággal élő személyek jogai, a nemek közötti egyenlőség, a szellemitulajdon-jogok, a hatékony jogorvoslathoz és a tisztességes eljáráshoz való jog, a védelemhez való jog és az ártatlanság vélelme, valamint a megfelelő ügyintézéshez való jog. Az említett jogok mellett fontos kiemelni azon tényt, hogy a gyermekek a Charta 24. cikkében és az Egyesült Nemzetek Szervezetének a gyermekek jogairól szóló egyezményében foglalt - a gyermek jogairól szóló ENSZ-egyezmény digitális környezetre vonatkozó 25. sz. általános észrevételében részletesebben kifejtett - különös jogokkal rendelkeznek; mindkét okmány előírja a gyermekek sebezhetőségének figyelembevételét, valamint a jóllétükhöz szükséges védelem és gondoskodás biztosítását. Azon kár súlyosságának értékelésekor, amelyet egy MI-rendszer tud okozni, figyelembe kell venni a magas szintű környezetvédelemhez való, a Chartában rögzített és az uniós szakpolitikákban végrehajtott alapvető jogot is, többek között a személyek egészségével és biztonságával kapcsolatban.
(49) Azon nagy kockázatú MI-rendszerek tekintetében, amelyek a 300/2008/EK európai parlamenti és tanácsi rendelet*, a 167/2013/EU európai parlamenti és tanácsi rendelet**, a 168/2013/EU európai parlamenti és tanácsi rendelet***, a 2014/90/EU európai parlamenti és tanácsi irányelv****, az (EU) 2016/797 európai parlamenti és tanácsi irányelv*****, az (EU) 2018/858 európai parlamenti és tanácsi rendelet******, az (EU) 2018/1139 európai parlamenti és tanácsi rendelet*******, valamint az (EU) 2019/2144 európai parlamenti és tanácsi rendelet******** hatálya alá tartozó termékek vagy rendszerek biztonsági alkotórészei, vagy amelyek maguk ilyen termékek vagy rendszerek, helyénvaló e jogi aktusokat módosítani annak érdekében, hogy a Bizottság - az egyes ágazatok műszaki és szabályozási sajátosságai alapján, és anélkül, hogy beavatkozna az említett jogszabályokkal létrehozott meglévő irányítási, megfelelőségértékelési és végrehajtási mechanizmusokba és hatóságok működésébe - figyelembe vegye a nagy kockázatú MI-rendszerekre e rendeletben megállapított kötelező követelményeket, amikor ezen jogi aktusok alapján releváns, felhatalmazáson alapuló vagy végrehajtási jogi aktusokat fogad el.[13]
(50) Az olyan MI-rendszereket, amelyek az e rendelet egyik mellékletében felsorolt egyes uniós harmonizációs jogszabályok hatálya alá tartozó termékek biztonsági alkotórészei, vagy amelyek maguk ilyen jogszabályok hatálya alá tartozó termékek, helyénvaló e rendelet értelmében nagy kockázatúnak minősíteni, ha az érintett terméket a vonatkozó uniós harmonizációs jogszabály értelmében valamely harmadik félnek minősülő megfelelőségértékelő szervezet által lefolytatott megfelelőségértékelési eljárás alá vonják. Így különösen, ilyen termékek a gépek, a játékok, a felvonók, a robbanásveszélyes légkörben való használatra szánt felszerelések és a védelmi rendszerek, a rádióberendezések, a nyomástartó berendezések, a kedvtelési célú vízi járművek berendezései, a kötélpálya-létesítmények, a gázüzemű berendezések, az orvostechnikai eszközök, az in vitro diagnosztikai orvostechnikai eszközök, a gépjárművek és a légi járművek.
(51) Az MI-rendszerek e rendelet szerint nagy kockázatú rendszerként való besorolása nem feltétlenül jelenti azt, hogy azon termék, amelynek biztonsági alkotórésze az MI-rendszer vagy maga az MI-rendszer mint termék, a termékre alkalmazandó vonatkozó uniós harmonizációs jogszabályokban megállapított kritériumok alapján nagy kockázatúnak minősül. Ez különösen igaz az (EU) 2017/745 és az (EU) 2017/746 európai parlamenti és tanácsi rendeletre, amelyek a közepes és a nagy kockázatú termékek tekintetében írnak elő harmadik fél általi megfelelőségértékelést.
(52) Az önálló MI-rendszereket, nevezetesen azon nagy kockázatú MI-rendszereket, amelyek nem termékek biztonsági alkotórészei, vagy amelyek nem maguk is termékek, helyénvaló nagy kockázatúnak minősíteni, ha rendeltetésük fényében nagy károkozó kockázatot jelentenek a személyek egészségére és biztonságára vagy alapvető jogaira nézve, figyelembe véve a lehetséges kár súlyosságát és bekövetkezési valószínűségét, és ha azokat számos, az e rendeletben megadott, kifejezetten előre meghatározott területen használják. E rendszerek azonosítása ugyanazon módszertanon és kritériumokon alapul, amelyeket előirányoztak a nagy kockázatú MI-rendszerek listájának azon jövőbeli módosításaira is, amelyeknek a technológiai fejlődés gyors üteme, valamint az MI-rendszerek használatában bekövetkező lehetséges változások figyelembevétele érdekében történő, felhatalmazáson alapuló jogi aktusok révén való elfogadására a Bizottságot fel kell hatalmazni.
(53) Azt is fontos tisztázni, hogy lehetnek olyan konkrét esetek, amikor az e rendeletben megadott előre meghatározott területeket érintő MI-rendszerek nem járnak a kár jelentős kockázatával az említett területeken védett jogi érdekekre nézve, mert nem befolyásolják jelentősen a döntéshozatalt, vagy nem sértik érdemben az említett érdekeket. E rendelet alkalmazásában a döntéshozatal kimenetelét jelentősen nem befolyásoló MI-rendszerek alatt olyan MI-rendszereket kell érteni, amelyek nem gyakorolnak hatást az - akár emberi, akár automatizált - döntéshozatal érdemére és ezáltal kimenetelére nézve. A döntéshozatal kimenetelét jelentősen nem befolyásoló MI-rendszerek olyan helyzeteket foglalhatnak magukban, amelyekben a következő feltételek közül egy vagy több teljesül. Az első ilyen feltétel az, hogy az MI-rendszer rendeltetése jól körülhatárolt eljárási feladat ellátása legyen, mint például az olyan MI-rendszerek esetében, amelyek a strukturálatlan adatokat strukturált adatokká alakítják át, amelyek kategóriákba rendezik a beérkező dokumentumokat vagy amelyeket nagyszámú beérkező dokumentum közötti ismétlődések kiszűrésére használnak. Az említett feladatok jellege olyan szűk és korlátozott, hogy csak korlátozott kockázatokat jelentenek, amelyeket nem súlyosbít egy MI-rendszernek az e rendelet egyik mellékletében nagy kockázatú felhasználásként felsorolt összefüggésben történő használata. A második feltétel az, hogy az MI-rendszer által ellátott feladat az e rendelet egyik mellékletében felsorolt nagy kockázatú felhasználások céljai szempontjából esetlegesen releváns, korábban elvégzett emberi tevékenység eredményének a javítását célozza. Tekintettel e jellemzőkre, az MI-rendszer kizárólag egy további réteget biztosít az emberi tevékenységhez, ami következésképpen csökkenti a kockázatot. Az említett feltétel volna alkalmazandó például az olyan MI-rendszerekre, amelyek rendeltetése korábban megszövegezett dokumentumok nyelvezetének javítása például a professzionális hangnem, a tudományos nyelvi regiszter vagy a szövegnek egy bizonyos márkaüzenettel való összehangolása tekintetében. A harmadik feltétel az, hogy az MI-rendszer rendeltetése döntéshozatali minták vagy korábbi döntéshozatali mintáktól való eltérések észlelése legyen. A kockázat azért csökkenne, mert az MI-rendszer használata korábban elvégzett emberi értékelést követne, és nem lenne a célja annak kiváltása vagy befolyásolása megfelelő emberi felülvizsgálat nélkül. Az ilyen MI-rendszerek közé tartoznak például azok, amelyek használhatók lennének arra, hogy egy tanár osztályozási szokásaiban fennálló minta alapján utólagosan ellenőrizzék, hogy a tanár eltért-e az osztályozási mintájától, és jelezzék az esetleges következetlenségeket vagy eltéréseket. A negyedik feltétel az, hogy az MI-rendszer rendeltetése olyan feladat ellátása legyen, amely pusztán az e rendelet egyik mellékletében felsorolt MI-rendszerek céljai szempontjából releváns értékelés előkészítését szolgálja, aminél fogva a rendszer kimenetére gyakorolt lehetséges hatás az elvégzendő értékelésre nézve jelentett kockázat tekintetében nagyon alacsony. Az említett feltétel kiterjed többek között a fájlkezelést szolgáló intelligens megoldásokra, amelyek az indexeléstől kezdve a keresésen, valamint a szöveg- és beszédfeldolgozáson keresztül adatok más adatforrásokkal való összekapcsolásáig számos különféle funkciót magukban foglalnak, vagy az eredeti dokumentumok fordítására szolgáló MI-rendszerekre. Mindenesetre az e rendelet egyik mellékletében felsorolt nagy kockázatú felhasználási esetekben használt MI-rendszereket úgy kell tekinteni, hogy jelentős károkozó kockázatokat jelentenek az egészségre, a biztonságra vagy az alapvető jogokra nézve, ha az MI-rendszer az (EU) 2016/679 rendelet 4. cikkének 4. pontja vagy az (EU) 2016/680 irányelv 3. cikkének 4. pontja vagy az (EU) 2018/1725 rendelet 3. cikkének 5. pontja értelmében vett profilalkotással jár. A nyomonkövethetőség és az átláthatóság biztosítása érdekében amennyiben egy szolgáltató megítélése szerint egy MI-rendszer a fent említett feltételek alapján nem nagy kockázatú, az említett rendszer forgalomba hozatalát vagy üzembe helyezését megelőzően dokumentációt kell készítenie az értékelésről, és az említett dokumentációt kérésre az illetékes nemzeti hatóságok rendelkezésére kell bocsátania. Az ilyen szolgáltatót kötelezni kell arra, hogy nyilvántartásba vegye az MI-rendszert az e rendelet alapján létrehozott uniós adatbázisban. Annak érdekében, hogy további iránymutatást nyújtson azon feltételek gyakorlati végrehajtásával kapcsolatban, amelyek mellett az e rendelet egyik mellékletében felsorolt MI-rendszerek kivételesen nem minősülnek nagy kockázatúnak, a Bizottságnak a Testülettel folytatott konzultációt követően iránymutatásokat kell biztosítania, amelyekben meghatározza az említett gyakorlati végrehajtást, mellékelve az MI-rendszerek olyan felhasználási eseteire vonatkozó gyakorlati példák átfogó listáját, amelyek nagy kockázatúak és az olyan felhasználási esetekre vonatkozókat, amelyek nem.
(54) Mivel a biometrikus adatok a személyes adatok egy különleges kategóriáját képezik, helyénvaló a biometrikus rendszerek számos kritikus felhasználási esetét nagy kockázatúnak minősíteni, amennyiben azok használatát a releváns uniós és nemzeti jog megengedi. A természetes személyek távoli biometrikus azonosítására szolgáló MI-rendszerek technikai pontatlansága torzított eredményekhez vezethet, és diszkriminatív hatásokat eredményezhet. Az ilyen torzított eredmények és diszkriminatív hatások kockázata különösen releváns az életkor, az etnikai és a faji hovatartozás, a nem vagy a fogyatékosságok tekintetében. A távoli biometrikus azonosító rendszereket ezért az általuk jelentett kockázatokra tekintettel nagy kockázatúnak kell minősíteni. Az ilyen besorolás kizárja az olyan biometrikus ellenőrzésre - többek között hitelesítésre - szánt MI-rendszereket, amelynek kizárólagos célja, hogy megerősítse, egy konkrét természetes személy az, akinek az említett személy állítja magát, és kizárólag abból a célból erősítse meg egy természetes személy személyazonosságát, hogy az hozzáférhessen egy szolgáltatáshoz, feloldhassa egy eszköz zárolását vagy biztonságos hozzáférést kapjon helyiségekhez. Ezenkívül, az érzékeny jellemzők vagy az (EU) 2016/679 rendelet 9. cikkének (1) bekezdése alapján védett tulajdonságok szerint, biometrikus adatok alapján történő biometrikus kategorizálásra szánt MI-rendszereket - amennyiben azokat e rendelet nem tiltja -, valamint az e rendelet értelmében nem tiltott érzelemfelismerő rendszereket nagy kockázatúnak kell minősíteni. Azon biometrikus rendszerek, amelyeknek kizárólagos célja kiberbiztonsági és személyesadat-védelmi intézkedések lehetővé tétele, nem tekintendők nagy kockázatú MI-rendszereknek.
(55) Ami a kritikus infrastruktúrák irányítását és üzemeltetését illeti, az (EU) 2022/2557 irányelv mellékletének 8. pontjában felsorolt kritikus digitális infrastruktúrák és a közúti forgalom irányításában és üzemeltetésében, valamint a víz-, gáz-, fűtés- és villamosenergia-ellátásban biztonsági alkotórészekként használni kívánt MI-rendszereket indokolt nagy kockázatúnak minősíteni, mivel meghibásodásuk vagy hibás működésük nagymértékben veszélyeztetheti az emberek életét és egészségét, és érzékelhető zavarokhoz vezethet a társadalmi és gazdasági tevékenységek szokásos végzésében. A kritikus infrastruktúrák - és ezen belül a kritikus digitális infrastruktúrák - biztonsági alkotórészei olyan rendszerek, amelyeket a kritikus infrastruktúra fizikai épségének, vagy a személyek egészségének és biztonságának, valamint vagyontárgyaknak a közvetlen védelmére használnak, de amelyek nem szükségesek a rendszer működéséhez. Az ilyen alkotórészek meghibásodása vagy hibás működése közvetlenül veszélyeztetheti a kritikus infrastruktúrák fizikai épségét, és ezáltal veszélyt jelent a személyek egészségére és biztonságára, valamint a vagyontárgyakra. A kizárólag kiberbiztonsági célokra szánt alkotórészek nem minősülnek biztonsági alkotórészeknek. Az ilyen kritikus infrastruktúra biztonsági alkotórészei közé tartozhatnak például a felhőszolgáltatási központok víznyomás-vezérlő vagy tűzjelző rendszerei.
(56) Az MI-rendszerek oktatásban való bevezetése fontos a magas színvonalú digitális oktatás és képzés előmozdítása szempontjából, valamint annak lehetővé tétele érdekében, hogy valamennyi tanuló és tanár elsajátítsa és megossza a szükséges digitális készségeket és kompetenciákat, beleértve a médiajártasságot, valamint a kritikai gondolkodást, és így aktív részt vállalhasson a gazdaságban, a társadalomban és a demokratikus folyamatokban. Azonban az oktatásban vagy szakképzésben - különösen minden szinten a személyek oktatási és szakképzési intézményekbe vagy programokba való bejutásáról, felvételéről és az intézményekhez vagy programokhoz való hozzárendeléséről való döntéshozatalra, a személyek tanulási eredményeinek értékelésére, az egyén megfelelő oktatási szintjének felmérésére, érdemi hatást gyakorolva az adott egyén által kapott vagy elérhető oktatás vagy képzés szintjére, vagy vizsgák során a tiltott tanulói magatartás figyelemmel követésére és észlelésére - használt MI-rendszereket nagy kockázatú MI-rendszernek kell minősíteni, mivel meghatározhatják egy személy életének oktatási és szakmai pályáját, és ezáltal hatással lehetnek az említett személy azon képességére, hogy megélhetéséről gondoskodjon. Helytelen tervezés és használat esetén az ilyen rendszerek különösen betolakodóak lehetnek és sérthetik az oktatáshoz és képzéshez való jogot, valamint a megkülönböztetésmentességhez való jogot, és állandósíthatják a megkülönböztetés korábban meglévő mintázatait, például a nőkkel, egyes korcsoportokkal, a fogyatékossággal élőkkel, illetve egyes faji vagy etnikai származású vagy szexuális irányultságú személyekkel szemben.
(57) Nagy kockázatúnak kell tekinteni azon MI-rendszereket is, amelyeket a foglalkoztatás, a munkavállalók irányítása és az önfoglalkoztatáshoz való hozzáférés, különösen személyek felvétele és kiválasztása, a munkával kapcsolatos jogviszony feltételeit érintő döntések, az előléptetéssel és a munkával kapcsolatos szerződéses jogviszonyok megszüntetésével kapcsolatos döntések meghozatala, az egyéni viselkedésen, személyes vonásokon vagy jellemzőkön alapuló feladatkiosztás, valamint a munkával kapcsolatos szerződéses jogviszonyokban álló személyek figyelemmel követése vagy értékelése során használnak, mivel az említett rendszerek érzékelhetően befolyásolhatják e személyek jövőbeli karrierlehetőségeit és megélhetését, valamint a munkavállalói jogokat. A releváns, munkával kapcsolatos szerződéses jogviszonyoknak érdemi módon magukban kell foglalniuk a munkavállalókat és a Bizottság 2021. évi munkaprogramjában említettek szerint a platformokon keresztül szolgáltatásokat nyújtó személyeket. Az ilyen rendszerek a munkaerő-felvételi folyamat egészében, valamint a munkával kapcsolatos szerződéses jogviszonyokban álló személyek értékelése, előléptetése vagy megtartása során állandósíthatják a megkülönböztetés régóta fennálló mintázatait, például a nőkkel, bizonyos korcsoportokkal, a fogyatékossággal élő személyekkel, illetve bizonyos faji vagy etnikai származású, vagy szexuális irányultságú személyekkel szemben. Az ilyen személyek teljesítményének és magatartásának nyomon követésére használt MI-rendszerek alááshatják a személyek adatvédelemhez és a magánélethez való alapvető jogait is.
(58) Egy másik olyan terület, ahol az MI-rendszerek használata különös figyelmet érdemel, az egyes olyan alapvető magán- és közszolgáltatások és ellátások elérhetősége és igénybevétele, amelyek ahhoz szükségesek, hogy az emberek teljes mértékben részt vehessenek a társadalomban vagy javítsák életszínvonalukat. Így különösen, azon természetes személyek, akik alapvető állami alapellátásokért és -szolgáltatásokért - nevezetesen egészségügyi szolgáltatásokért, szociális biztonsági ellátásokért, az olyan esetekben védelmet nyújtó szociális szolgáltatásokért, mint az anyaság, a betegség, az ipari balesetek, a függőség vagy az időskor és a munkahely elvesztése, valamint szociális és lakhatási támogatásért - folyamodnak a hatóságokhoz, vagy akik a hatóságoktól ilyenben részesülnek, jellemzően függenek az említett ellátásoktól és szolgáltatásoktól, és kiszolgáltatott helyzetben vannak a felelős hatóságokkal szemben. Ha MI-rendszerek igénybevételével döntik el, hogy a hatóságok megadják, megtagadják, csökkentsék, visszavonják vagy visszaigényeljék-e az ilyen ellátásokat és szolgáltatásokat - ideértve azt is, hogy a kedvezményezettek jogszerűen jogosultak-e az ilyen ellátásokra vagy szolgáltatásokra -, az említett rendszerek jelentős hatást gyakorolhatnak a személyek megélhetésére, és sérthetik az alapvető jogaikat, így például a szociális védelemhez, a megkülönböztetésmentességhez, az emberi méltósághoz vagy a hatékony jogorvoslathoz való jogot, és ezért nagy kockázatúnak kell azokat minősíteni. Mindazonáltal e rendelet nem akadályozhatja az innovatív megközelítések fejlesztését és alkalmazását a közigazgatásban, amely számára előnyös lenne az előírásoknak megfelelő és biztonságos MI-rendszerek szélesebb körű használata, feltéve, hogy az említett rendszerek nem jelentenek nagy kockázatot a természetes és jogi személyekre nézve. Ezenfelül, a természetes személyek hitelpontszámának vagy hitelképességének értékelésére használt MI-rendszereket nagy kockázatú MI-rendszereknek kell minősíteni, mivel ezek határozzák meg e személyek pénzügyi erőforrásokhoz vagy olyan alapvető szolgáltatásokhoz való hozzáférését, mint a lakhatás, a villamos energia és a távközlési szolgáltatások. Az e célokra használt MI-rendszerek személyek vagy csoportok hátrányos megkülönböztetéséhez vezethetnek, és állandósíthatják a - például faji vagy etnikai származáson, nemen, fogyatékosságon, életkoron vagy szexuális irányultságon alapuló - megkülönböztetés régóta fennálló mintázatait, vagy a diszkriminatív hatások új formáit teremthetik meg. Az uniós jog által a pénzügyi szolgáltatások nyújtása terén a csalások felderítése céljából, valamint a prudenciális célokra, a hitelintézetek és biztosítók tőkekövetelményeinek kiszámítása céljából előírt MI-rendszerek azonban e rendelet értelmében nem tekintendők nagy kockázatúnak. Ezenkívül a természetes személyek vonatkozásában egészség- és életbiztosítás esetén a kockázatértékeléshez és az árképzéshez való használatra szánt MI-rendszerek is jelentős hatást gyakorolhatnak a személyek megélhetésére, és ha nem megfelelően tervezik meg, fejlesztik és használják őket, sérthetik a személyek alapvető jogait és súlyos következményekkel járhatnak az emberek életére és egészségére nézve, ideértve a pénzügyi szolgáltatásokból való kirekesztést és a hátrányos megkülönböztetést is. Végül, a természetes személyek segélyhívásainak értékeléséhez és osztályozásához vagy a sürgősségi segélyszolgálatok - többek között a rendőrség és a tűzoltók által biztosított ilyen szolgáltatások és orvosi segítségnyújtás - kirendeléséhez vagy a kirendelési prioritás megállapításához használt MI-rendszereket, valamint a sürgősségi egészségügyi ellátásban alkalmazott betegosztályozási rendszerekhez használt MI-rendszereket szintén nagy kockázatúnak kell tekinteni, mivel nagyon kritikus helyzetekben hoznak döntéseket az emberek élete és egészsége, valamint tulajdona szempontjából.
(59) A bűnüldöző hatóságok szerepére és felelősségi körére tekintettel e hatóságoknak az MI-rendszerek bizonyos használatával járó fellépéseit az erőviszonyok jelentős mértékű kiegyensúlyozatlansága jellemzi, és egy természetes személy megfigyeléséhez, letartóztatásához vagy szabadságának elvonásához, valamint a Chartában garantált alapvető jogokra gyakorolt egyéb kedvezőtlen hatásokhoz vezethetnek. Így különösen, ha az MI-rendszert nem tanítják jó minőségű adatokkal, nem felel meg a teljesítménye, pontossága vagy stabilitása tekintetében támasztott megfelelő követelményeknek, vagy a forgalomba hozatalt vagy a más módon történő üzembe helyezést megelőzően nem megfelelően tervezték és tesztelték, akkor diszkriminatív vagy más tekintetben helytelen vagy igazságtalan módon válaszhat ki embereket. Továbbá, akadályozhatja a fontos alapvető eljárási jogoknak - például a hatékony jogorvoslathoz és a tisztességes eljáráshoz való jognak, valamint a védelemhez való jognak és az ártatlanság vélelmének - az érvényre juttatását, különösen akkor, ha az ilyen MI-rendszerek nem kellően átláthatók, megmagyarázhatók és dokumentálhatók. Ezért amennyiben azok használatát a releváns uniós és nemzeti jog megengedi, helyénvaló nagy kockázatúnak minősíteni számos olyan, a bűnüldözéssel összefüggésben használni kívánt MI-rendszert, amelyek pontossága, megbízhatósága és átláthatósága különösen fontos a kedvezőtlen hatások elkerülése, a közvélemény bizalmának megőrzése, valamint az elszámoltathatóság és a hatékony jogorvoslat biztosítása szempontjából. Tekintettel a tevékenységek jellegére és az azokkal kapcsolatos kockázatokra, az említett nagy kockázatú MI-rendszereknek magukban kell foglalniuk különösen azon MI-rendszereket, amelyeket a bűnüldöző hatóságok által vagy nevében, vagy a bűnüldöző hatóságok támogatása érdekében uniós intézmények, szervek, hivatalok vagy ügynökségek által való használatra terveznek természetes személyekre vonatkozó, bűncselekmények áldozatává válás kockázatának értékelésére poligráfként és hasonló eszközként, bűncselekményekkel kapcsolatos nyomozások során vagy büntetőeljárásokban a bizonyítékok megbízhatóságának értékelésére, továbbá amennyiben e rendelet alapján nem tiltott, annak értékelésére, hogy egy természetes személy esetében fennáll-e bűncselekmény elkövetésének vagy ismételt elkövetésének kockázata, nem kizárólag egy természetes személyre vonatkozó profilalkotás vagy természetes személyek vagy csoportok személyiségjegyeinek és személyes jellemzőinek, illetve múltbeli bűnözői magatartásának értékelése alapján, valamint bűncselekmények felderítése, nyomozása vagy büntetőeljárás alá vonása során alkalmazott profilalkotásra . A kifejezetten adó- és vámhatóságok, valamint a pénzmosás elleni uniós jogszabályok szerinti információelemzést végző, igazgatási feladatokat ellátó pénzügyi hírszerző egységek általi, közigazgatási eljárásokban történő használatra szánt MI-rendszerek, nem minősítendők a bűnüldöző hatóságok által bűncselekmények megelőzése, felderítése, nyomozása és büntetőeljárás alá vonása céljából használt nagy kockázatú MI-rendszereknek. Az MI-eszközök bűnüldöző és egyéb releváns hatóságok általi használata nem idézhet elő egyenlőtlenséget vagy kirekesztést. Nem szabad figyelmen kívül hagyni az MI-eszközök használatának a gyanúsítottak védelemhez való jogára gyakorolt hatását, különösen az e rendszerek működésére vonatkozó érdemi információk beszerzésének nehézségét, valamint a kapott eredmények bíróság előtti vitatásának ebből eredő nehézségeit, főként a vizsgálat alatt álló természetes személyek esetében.
(60) A migrációkezelésben, a menekültügyben és a határigazgatásban használt MI-rendszerek olyan személyeket érintenek, akik gyakran különösen kiszolgáltatott helyzetben vannak, és akiknek életét befolyásolja az illetékes hatóságok intézkedéseinek kimenetele. Az ilyen összefüggésben használt MI-rendszerek pontossága, megkülönböztetésmentes jellege és átláthatósága ezért különösen fontos az érintett személyek alapvető jogai, különösen a szabad mozgáshoz, a megkülönböztetésmentességhez, a magánélet és a személyes adatok védelméhez, a nemzetközi védelemhez és a megfelelő ügyintézéshez való jogaik tiszteletben tartásának biztosítása szempontjából. Ezért helyénvaló nagy kockázatúnak minősíteni a migráció, a menekültügy és a határigazgatás területén feladatokat ellátó illetékes hatóságok által vagy nevükben, vagy uniós intézmények, szervek, hivatalok vagy ügynökségek által, poligráfként és hasonló eszközként, vagy olyan célokra használni kívánt MI-rendszereket - amennyiben azok használatát a releváns uniós és nemzeti jog megengedi -, mint a tagállamok területére belépő, illetve vízumot vagy menedékjogot kérelmező természetes személyek által jelentett bizonyos kockázatok felmérése, az illetékes hatóságoknak történő segítségnyújtás a menedékjog, vízum és tartózkodási engedély iránti kérelmek és a kapcsolódó panaszok vizsgálatához, beleértve a bizonyítékok megbízhatóságának kapcsolódó értékelését a jogállást kérelmező természetes személyek jogosultságának megállapítására irányuló célkitűzés tekintetében, természetes személyek felderítése, felismerése vagy azonosítása a migráció, a menekültügy és a határigazgatás összefüggésében, az úti okmányok ellenőrzésének kivételével. Az e rendelet hatálya alá tartozó, a migráció, a menekültügy és a határigazgatás területén működő MI-rendszereknek meg kell felelniük a 810/2009/EK európai parlamenti és tanácsi rendeletben*, a 2013/32/EU európai parlamenti és tanácsi irányelvben** és más vonatkozó jogszabályokban meghatározott vonatkozó eljárási követelményeknek. A tagállamok vagy az uniós intézmények, szervek, hivatalok vagy ügynökségek a migráció, a menekültügy és a határellenőrzés során alkalmazott MI-rendszereket semmilyen körülmények között nem használhatják fel az 1967. január 31-i jegyzőkönyvvel módosított, a menekültek helyzetére vonatkozó 1951. július 28-i genfi ENSZ-egyezmény szerinti nemzetközi kötelezettségeik megkerülésére. Semmilyen módon nem sérthetik meg továbbá a visszaküldés tilalmának elvét, illetve nem tagadhatják meg az Unió területére való belépés biztonságos és eredményes, legális csatornáit, ideértve a nemzetközi védelemhez való jogot is.[14]
(61) Az igazságszolgáltatásra és a demokratikus folyamatok irányítására szánt egyes MI-rendszereket nagy kockázatúnak kell tekinteni, figyelembe véve a demokráciára, a jogállamiságra, az egyéni szabadságokra, valamint a hatékony jogorvoslathoz és a tisztességes eljáráshoz való jogra gyakorolt potenciálisan jelentős hatásukat. Így különösen, az esetleges torzítások, hibák és átláthatatlanság kockázatának kezelése érdekében indokolt nagy kockázatúnak minősíteni az igazságügyi hatóságok által vagy nevében történő használatra szánt azon MI-rendszereket, amelyek célja, hogy segítsék az igazságügyi hatóságokat a ténybeli és a jogi elemek kutatásában és értelmezésében, valamint a jog konkrét tényekre történő alkalmazásában. Az alternatív vitarendezési testületek által e célokra történő használatra szánt MI-rendszereket szintén nagy kockázatúnak kell tekinteni, ha az alternatív vitarendezési eljárás a felekre nézve joghatással jár. Az MI-eszközök alkalmazása támogathatja a bírák döntéshozatali hatáskörét vagy a bírói függetlenséget, de nem válthatja azt fel, mivel a végső döntéshozatalnak ember által irányított tevékenységnek kell maradnia. Az MI-rendszerek nagy kockázatúként való besorolása azonban nem terjedhet ki azokra az MI-rendszerekre, amelyek olyan, tisztán járulékos adminisztratív tevékenységek elvégzésére szolgálnak, amelyek nem befolyásolják a tényleges igazságszolgáltatást az egyedi ügyekben, mint például a bírósági határozatok, dokumentumok vagy adatok anonimizálása vagy álnevesítése, a személyzet közötti kommunikáció, adminisztratív feladatok ellátása.
(62) Az (EU) 2024/900 európai parlamenti és tanácsi rendeletben* előírt szabályok sérelme nélkül, és a Charta 39. cikkében rögzített szavazati jogot érintő indokolatlan külső beavatkozás, valamint a demokráciára és a jogállamiságra gyakorolt kedvezőtlen hatások kockázatának kezelése érdekében a választások vagy népszavazások eredményének vagy a természetes személyek választásokon vagy népszavazásokon tanúsított szavazási magatartásának befolyásolására tervezett MI-rendszereket nagy kockázatú MI-rendszereknek kell minősíteni, kivéve azon MI-rendszereket - így például a politikai kampányok adminisztratív és logisztikai szempontból történő szervezésére, optimalizálására és strukturálására használt eszközöket -, amelyek kimenetének nincsenek természetes személyek közvetlenül kitéve.[15]
(63) Az, hogy egy MI-rendszer e rendelet értelmében nagy kockázatú MI-rendszernek minősül, nem értelmezhető úgy, mint ami azt jelzi, hogy a rendszer használata jogszerű az uniós jog más jogi aktusai vagy az uniós joggal összeegyeztethető nemzeti jogszabályok, így például a személyes adatok védelmére, illetve a poligráfok, vagy a természetes személyek érzelmi állapotának felderítését szolgáló hasonló eszközök és rendszerek használatára vonatkozó jogi aktusok és jogszabályok alapján. Az ilyen használatra továbbra is kizárólag a Chartából, valamint a másodlagos uniós jog alkalmazandó jogi aktusaiból és a nemzeti jogból eredő alkalmazandó követelményekkel összhangban kerülhet sor. E rendelet nem értelmezhető úgy, mint amely jogalapot teremt személyes adatok kezelésére, ideértve adott esetben a személyes adatok különleges kategóriáit is, kivéve, ha e rendelet kifejezetten másként rendelkezik.
(64) A forgalomba hozott vagy más módon üzembe helyezett, nagy kockázatú MI-rendszerekből eredő kockázatok enyhítése és a magas szintű megbízhatóság biztosítása érdekében bizonyos kötelező követelményeket kell alkalmazni a nagy kockázatú MI-rendszerekre vonatkozóan, figyelembe véve az MI-rendszer rendeltetését és felhasználási kontextusát, továbbá összhangban a szolgáltató által létrehozandó kockázatkezelési rendszerrel. A szolgáltatók által e rendelet kötelező követelményeinek való megfelelés céljából elfogadott intézkedéseknek figyelembe kell venniük az MI-vel kapcsolatos technika általánosan elfogadott, mindenkori állását, arányosnak és hatékonynak kell lenniük e rendelet célkitűzéseinek elérése érdekében. Az új jogszabályi keret alapján, amint azt a termékekre vonatkozó uniós szabályozásról szóló, 2022. évi bizottsági útmutató - "A kék útmutató" - kifejti, főszabály szerint az uniós harmonizációs jogalkotás több jogi aktusa is alkalmazható egyetlen termékre, mivel a forgalmazásra vagy az üzembe helyezésre csak akkor kerülhet sor, ha a termék megfelel valamennyi alkalmazandó uniós harmonizációs jogszabálynak. Az e rendelet szerinti követelmények hatálya alá tartozó MI-rendszerek veszélyei más vonatkozásokat érintenek, mint a meglévő uniós harmonizációs jogszabályok, ezért az e rendelet szerinti követelmények kiegészítenék a meglévő uniós harmonizációs jogszabályokat. Például az MI-rendszert tartalmazó gépek vagy orvostechnikai eszközök jelenthetnek olyan kockázatokat, amelyekre a vonatkozó uniós harmonizációs jogszabályokban meghatározott alapvető egészségvédelmi és biztonsági követelmények nem terjednek ki, mivel az adott ágazati jogszabályok nem foglalkoznak az MI-rendszerekkel összefüggő sajátos kockázatokkal. Ez a különböző jogalkotási aktusok egyidejű és egymást kiegészítő alkalmazását teszi szükségessé. A következetesség biztosítása, valamint a szükségtelen adminisztratív terhek és a szükségtelen költségek elkerülése érdekében az olyan termékek szolgáltatóinak, amelyek egy vagy több olyan, nagy kockázatú MI-rendszert tartalmaznak, amelyre az e rendeletben vagy az új jogszabályi kereten alapuló és az e rendelet egyik mellékletében felsorolt uniós harmonizációs jogszabályokban foglalt követelmények alkalmazandók, rugalmassággal kell rendelkezniük azon működési döntések tekintetében, hogy miként biztosítsák optimális módon az egy vagy több MI-rendszert tartalmazó termék megfelelését az említett uniós harmonizációs jogszabályokban foglalt valamennyi alkalmazandó követelménynek. Az említett rugalmasság jelentheti például a szolgáltató azon döntését, hogy az a rendelet értelmében kötelező szükséges tesztelési és jelentéstételi folyamatok, információk és dokumentáció egy részét az új jogszabályi kereten alapuló és az e rendelet egyik mellékletében felsorolt, meglévő uniós harmonizációs jogszabályok alapján előírt, már meglévő dokumentációba és eljárásokba építi be. Ez semmilyen módon nem gyengítheti a szolgáltató azon kötelezettségét, hogy megfeleljen valamennyi alkalmazandó követelménynek.
(65) A kockázatkezelési rendszernek olyan megszakítás nélkül végzett iteratív folyamatnak kell lennie, amelyet a nagy kockázatú MI-rendszer teljes életciklusára terveztek és működtetnek. Az említett folyamatnak az MI-rendszerek által az egészségre, a biztonságra és az alapvető jogokra jelentett releváns kockázatok azonosítására és enyhítésére kell irányulnia. A kockázatkezelési rendszert rendszeresen felül kell vizsgálni és aktualizálni kell a folyamatos hatékonyságának biztosítása, valamint az e rendelet alapján hozott valamennyi jelentős döntés és intézkedés alátámasztása és dokumentálása érdekében. E folyamatnak biztosítania kell, hogy a szolgáltató azonosítsa a kockázatokat vagy kedvezőtlen hatásokat, és az MI-rendszerek által az egészségre, a biztonságra és az alapvető jogokra jelentett ismert és észszerűen előrelátható kockázatokra vonatkozó enyhítő intézkedéseket vezessen be a rendeltetésük vagy az észszerűen előre látható rendellenes használatuk fényében, ideértve az MI-rendszer és a működési környezete közötti kölcsönhatásból eredő lehetséges kockázatokat is. A kockázatkezelési rendszer révén az MI-vel kapcsolatos technika mindenkori állásának fényében legmegfelelőbb kockázatkezelési intézkedéseket kell elfogadni. A legmegfelelőbb kockázatkezelési intézkedések meghatározásakor a szolgáltatónak dokumentálnia kell és meg kell indokolnia a meghozott döntéseket, és adott esetben be kell vonnia szakértőket és külső érdekelt feleket. A nagy kockázatú MI-rendszerek észszerűen előrelátható rendellenes használatának meghatározásakor a szolgáltatónak ki kell térnie az MI-rendszerek olyan használatára, amelyekre a rendszer rendeltetése nem terjed ki közvetlenül és amelyek nem szerepelnek a használati utasításban, azonban az adott MI-rendszer sajátos jellemzői és használata összefüggésében észszerűen feltételezhető, hogy az előrelátható emberi magatartásból eredhet. A szolgáltató által biztosított használati utasításnak tartalmaznia kell minden olyan ismert vagy előre látható, a nagy kockázatú MI-rendszer rendeltetésszerű használatával vagy az észszerűen előrelátható rendellenes használatával kapcsolatos körülményt, amely kockázatot jelenthet az egészségre és a biztonságra vagy az alapvető jogokra nézve. Ez annak biztosítását célozza, hogy az alkalmazó tisztában legyen azokkal, és figyelembe vegye azokat a nagy kockázatú MI-rendszer használata során. Az e rendelet szerinti észszerűen előrelátható rendellenes használatra vonatkozó kockázatenyhítő intézkedések meghatározása és végrehajtása nem tehet szükségessé a szolgáltató részéről a nagy kockázatú MI-rendszer tekintetében konkrét további tanítást az előrelátható rendellenes használat kezelése céljából. A szolgáltatók azonban ösztönözve vannak ilyen további tanító intézkedések fontolóra vételére, hogy szükség szerint és adott esetben mérsékeljék az észszerűen előrelátható rendellenes használatokat.
(66) A nagy kockázatú MI-rendszerekre követelményeket kell alkalmazni a kockázatkezelés, a használt adatkészletek minősége és relevanciája, a műszaki dokumentáció és a nyilvántartás, az átláthatóság és az alkalmazóknak nyújtott tájékoztatás, az emberi felügyelet, valamint a stabilitás, a pontosság és a kiberbiztonság tekintetében. Az említett követelmények szükségesek az egészséget, a biztonságot és az alapvető jogokat érintő kockázatok hatékony enyhítéséhez. Mivel észszerűen nem állnak rendelkezésre más, a kereskedelmet kevésbé korlátozó intézkedések, az említett követelmények nem minősülnek a kereskedelem indokolatlan korlátozásának.
(67) A kiváló minőségű adatok és a kiváló minőségű adatokhoz való hozzáférés létfontosságú szerepet játszik számos MI-rendszer struktúrájának biztosításában és teljesítményének garantálásában, különösen a modellek tanítását magában foglaló technikák alkalmazása esetén, annak biztosítása érdekében, hogy a nagy kockázatú MI-rendszer rendeltetésszerűen és biztonságosan működjön, és ne váljon az uniós jog által tiltott megkülönböztetés forrásává. A tanításhoz, validáláshoz és teszteléshez használt kiváló minőségű adatkészletekhez megfelelő adatkormányzási és adatgazdálkodási gyakorlatokra van szükség. A tanításhoz, validáláshoz és teszteléshez használt adatkészleteknek, beleértve a címkéket is, relevánsnak, kellően reprezentatívnak, valamint a lehető legnagyobb mértékben hibáktól mentesnek és teljesnek kell lenniük a rendszer rendeltetése szempontjából. Az uniós adatvédelmi jognak, például az (EU) 2016/679 rendeletnek való megfelelés elősegítése érdekében az adatkormányzási és adatgazdálkodási gyakorlatoknak a személyes adatok esetében ki kell terjedniük az adatgyűjtés eredeti céljával kapcsolatos átláthatóságra. Az adatkészleteknek rendelkezniük kell a megfelelő statisztikai tulajdonságokkal is, többek között azon személyek vagy személyek csoportjai tekintetében, akikre vagy amelyekre a nagy kockázatú MI-rendszert használni kívánják, különös figyelemmel az adatkészletekben lévő olyan esetleges torzítások mérséklésére, amelyek valószínűleg hatással lehetnek a személyek egészségére és biztonságára, negatív hatást gyakorolhatnak az alapvető jogokra, vagy az uniós jog által tiltott megkülönböztetéshez vezethetnek, különösen akkor, ha az adatok kimenetei befolyásolják a jövőbeli műveletek bemeneteit (visszacsatolási hurkok). Torzítások előfordulhatnak eredendően például az alapul szolgáló adatkészletekben, különösen akkor, ha múltbeli adatokat használnak, vagy amelyek akkor keletkeznek, amikor a rendszereket valós körülmények között alkalmazzák. Az MI-rendszerek által nyújtott eredményeket befolyásolhatják az ilyen eredendő torzítások, amelyek hajlamosak tovább növekedni, és ezáltal állandósítani és felerősíteni a meglévő diszkriminációt, különösen a bizonyos kiszolgáltatott csoportokhoz - többek között faji vagy etnikai csoportokhoz - tartozó személyek esetében. Az adatkészleteknek a lehető legnagyobb mértékű teljességére és hibamentességére vonatkozó követelmény nem érintheti a magánélet védelmét szolgáló technikák használatát az MI-rendszerek fejlesztésével és tesztelésével összefüggésben. Így különösen, az adatkészleteknek - a rendeltetésük által megkövetelt mértékben - figyelembe kell venniük azon jellemzőket, tulajdonságokat vagy elemeket, amelyek azon sajátos földrajzi, kontextuális, magatartási vagy funkcionális környezethez kapcsolódnak, amelyben az MI-rendszert használni szándékozzák. Az adatkormányzással kapcsolatos követelmények teljesíthetők olyan harmadik felek igénybevételével, amelyek az adatkormányzás, az adatkészlet-integritás, valamint az adat-tanításra, -validálásra és -tesztelésre szolgáló gyakorlatok ellenőrzését magában foglaló, tanúsított megfelelési szolgáltatásokat kínálnak, amennyiben az e rendelet szerinti adatszolgáltatási követelményeknek való megfelelés biztosított.
(68) A nagy kockázatú MI-rendszerek fejlesztése és értékelése tekintetében bizonyos szereplőknek, például a szolgáltatóknak, a bejelentett szervezeteknek és más releváns jogalanyoknak, például az európai digitális innovációs központoknak, a tesztelési-kísérleti létesítményeknek és a kutatóknak lehetőséget kell biztosítani, hogy az e rendelethez kapcsolódó tevékenységi területeiken belül hozzáférjenek kiváló minőségű adatkészletekhez és használják őket. A Bizottság által létrehozott közös európai adatterek, valamint a vállalkozások közötti és a kormányzattal való, közérdekből történő adatmegosztás megkönnyítése alapvető fontosságúak lesznek ahhoz, hogy megbízható, elszámoltatható és megkülönböztetésmentes hozzáférést lehessen biztosítani az MI-rendszerek tanításához, validálásához és teszteléséhez szükséges kiváló minőségű adatokhoz. Az egészségügy területén például az európai egészségügyi adattér fogja megkönnyíteni az egészségügyi adatokhoz való megkülönböztetésmentes hozzáférést és az MI-algoritmusok ezen adatkészletek alapján való tanítását a magánéletet védő, biztonságos, időszerű, átlátható és megbízható módon, valamint megfelelő intézményi irányítás mellett. Az adatokhoz való hozzáférést biztosító vagy támogató érintett illetékes hatóságok, beleértve az ágazati hatóságokat is, támogathatják az MI-rendszerek tanításához, validálásához és teszteléséhez szükséges kiváló minőségű adatok szolgáltatását is.
(69) A magánélet tiszteletben tartásához és az adatvédelemhez való jogot az MI-rendszer teljes életciklusa során garantálni kell. E tekintetben az adattakarékosság, valamint a beépített és alapértelmezett adatvédelem uniós adatvédelmi jogszabályokban meghatározott elve alkalmazandó a személyes adatok kezelése során. A szolgáltatók által az említett elveknek való megfelelés biztosítása érdekében hozott intézkedések nemcsak az anonimizálást és a titkosítást foglalhatják magukban, hanem az olyan technológia használatát is, amely lehetővé teszi az algoritmusok adatokhoz rendelését és az MI-rendszer anélkül történő tanítását, hogy a nyers vagy strukturált adatokat a feleknek egymás között át kellene adniuk vagy másolniuk, az e rendeletben foglalt adatkormányzási követelmények sérelme nélkül.
(70) Annak érdekében, hogy megvédjék mások jogát az MI-rendszerekben megjelenő torzításból eredő esetleges megkülönböztetéssel szemben, a szolgáltatók számára kivételesen lehetővé kell tenni, hogy a nagy kockázatú MI-rendszerekkel kapcsolatos torzítás észlelésének és korrekciójának biztosításához feltétlenül szükséges mértékben, figyelemmel a természetes személyek alapvető jogaira és szabadságaira vonatkozó megfelelő biztosítékokra, valamint az e rendeletben és az (EU) 2016/679 rendeletben, az (EU) 2018/1725 rendeletben és az (EU) 2016/680 irányelvben foglalt valamennyi alkalmazandó feltétel alkalmazását követően, az (EU) 2016/679 rendelet 9. cikke (2) bekezdésének g) pontja és az (EU) 2018/1725 rendelet 10. cikke (2) bekezdésének g) pontja értelmében vett jelentős közérdekből a személyes adatok különleges kategóriáit is kezeljék.
(71) A nagy kockázatú MI-rendszerek nyomonkövethetőségéhez, az e rendelet szerinti követelményeknek való megfelelés ellenőrzéséhez, valamint az ilyen rendszerek működésének nyomon követéséhez és a forgalomba hozatal utáni nyomon követéshez elengedhetetlenek az arra vonatkozó átfogó információk, hogy hogyan fejlesztették ki a nagy kockázatú MI-rendszereket, és hogyan teljesítenek teljes élettartamuk során. Ehhez nyilvántartást kell vezetni, és olyan műszaki dokumentációnak kell rendelkezésre állnia, amely tartalmazza az annak értékeléséhez szükséges információkat, hogy az MI-rendszer megfelel-e a vonatkozó követelményeknek, valamint amely megkönnyíti a forgalomba hozatal utáni nyomon követést. Ezeknek az információknak ki kell terjedniük a rendszer általános jellemzőire, képességeire és korlátaira, algoritmusaira, adataira, tanítási, tesztelési és validálási folyamataira, valamint a vonatkozó kockázatkezelési rendszerrel kapcsolatos dokumentációra, és világos és érthető formában kell rendelkezésre állniuk. A műszaki dokumentációt az MI-rendszerek teljes élettartama alatt megfelelően naprakészen kell tartani. Továbbá, a nagy kockázatú MI-rendszereknek a rendszer teljes élettartama alatt technikailag lehetővé kell tenniük az események automatikus rögzítését naplózás révén.
(72) A bizonyos MI-rendszerek átláthatatlanságával és összetettségével kapcsolatos aggályok kezelése, valamint az alkalmazóknak az e rendelet szerinti kötelezettségeik teljesítéséhez való segítségnyújtás érdekében bizonyos fokú átláthatóságot kell előírni a nagy kockázatú MI-rendszerekre vonatkozóan már azok forgalomba hozatala vagy üzembe helyezése előtt. A nagy kockázatú MI-rendszereket úgy kell megtervezni, hogy az alkalmazók értsék, hogyan működik az MI-rendszer, értékelni tudják annak funkcióját, valamint tisztában legyenek erősségeivel és korlátaival. A nagy kockázatú MI-rendszereket használati utasítás formájában megfelelő információknak kell kísérniük. Az ilyen információknak ki kell terjedniük az MI-rendszer jellemzőire, képességeire és teljesítményének korlátaira. Azok magukban foglalnák a következőkre vonatkozó információkat: a nagy kockázatú MI-rendszer használatával kapcsolatos, olyan esetleges, ismert és előre látható körülmények, ideértve az alkalmazó által végzett, a rendszer viselkedését és teljesítményét befolyásolni képes műveleteket, amelyek mellett az MI-rendszer az egészséget, a biztonságot és az alapvető jogokat érintő kockázatokhoz vezethet, a szolgáltató által előre meghatározott és a megfelelőség szempontjából értékelt változások, valamint a releváns emberi felügyeleti intézkedések, beleértve az MI-rendszerek kimeneteinek az alkalmazók általi értelmezését megkönnyítő technikai intézkedéseket. Az átláthatóság, beleértve a rendszereket kísérő használati utasítást, segíteni hivatott az alkalmazókat a rendszer használatában, valamint támogatni hivatott őket a tájékozott döntéshozatalban. Többek között az alkalmazók számára könnyebb kell, hogy legyen annak megfelelő eldöntése a rájuk alkalmazandó követelmények fényében, hogy mely rendszert kívánják használni, tisztában kell lenniük a rendeltetésszerű és a kizárt felhasználással, és helyesen, megfelelően kell használniuk az MI-rendszert. A használati utasításban szereplő információk olvashatóságának és hozzáférhetőségének javítása érdekében adott esetben szemléltető példákat kell felsorolni például az MI-rendszer korlátaival, valamint a rendeltetésszerű és a kizárt felhasználással kapcsolatban. A szolgáltatóknak biztosítaniuk kell, hogy a teljes dokumentáció, beleértve a használati utasítást is, érdemi, átfogó, hozzáférhető és érthető információkat tartalmazzon, figyelembe véve a megcélzott alkalmazók igényeit és előre látható ismereteit. A használati utasítást a megcélzott alkalmazók által könnyen érthető nyelven kell rendelkezésre bocsátani, az érintett tagállam által meghatározottak szerint.
(73) A nagy kockázatú MI-rendszereket úgy kell megtervezni és fejleszteni, hogy a természetes személyek felügyelhessék működésüket, valamint biztosíthassák rendeltetésszerű használatukat és hatásaik kezelését a rendszer életciklusa során. E célból a rendszer szolgáltatójának a forgalomba hozatalt vagy üzembe helyezést megelőzően megfelelő emberi felügyeleti intézkedéseket kell meghatároznia. Így különösen, az ilyen intézkedéseknek adott esetben garantálniuk kell azt, hogy a rendszer olyan beépített működési korlátokkal rendelkezzen, amelyeket maga a rendszer nem tud felülbírálni, és reagáljon az emberi üzemeltetőre, valamint hogy az emberi felügyeletet ellátó természetes személyek rendelkezzenek az e feladat ellátásához szükséges szakértelemmel, képzéssel és felhatalmazással. Adott esetben annak biztosítása is alapvető fontosságú, hogy a nagy kockázatú MI-rendszerek rendelkezzenek olyan mechanizmusokkal, amelyek iránymutatást és tájékoztatást nyújtanak az emberi felügyeletet ellátó természetes személy számára az azzal kapcsolatos megalapozott döntéshozatalhoz, hogy szükséges-e, vagy mikor és hogyan szükséges beavatkozni a negatív következmények vagy kockázatok elkerülése érdekében vagy leállítani a rendszert, amennyiben az nem rendeltetésszerűen működik. Tekintettel arra, hogy a bizonyos biometrikus azonosító rendszerek által megállapított hibás egyezés milyen komoly következményekkel járhat az egyénekre nézve, helyénvaló fokozott emberi felügyeleti követelményt előírni e rendszerekre vonatkozóan annak érdekében, hogy az alkalmazó a rendszerből származó azonosítás alapján semmilyen intézkedést vagy döntést ne hozhasson anélkül, hogy azt legalább két természetes személy külön ellenőrizte és megerősítette volna. Az említett személyek lehetnek ugyanazon vagy különböző szervezet tagjai, és köztük lehet a rendszert üzemeltető vagy használó személy is. Ez a követelmény nem okozhat szükségtelen terhet vagy késedelmet, és elegendő lehet, ha a különböző személyek által végzett külön ellenőrzéseket automatikusan rögzítik a rendszer által generált naplók. Tekintettel a bűnüldözés, a migráció, a határellenőrzés és a menekültügy területének sajátosságaira, ez a követelmény nem alkalmazandó azokban az esetekben, amikor az uniós vagy a nemzeti jog úgy ítéli meg, hogy alkalmazása aránytalan.
(74) A nagy kockázatú MI-rendszereknek életciklusuk során következetesen kell teljesíteniük, és a rendeltetésük fényében, valamint a technika általánosan elfogadott, mindenkori állásával összhangban megfelelő szintű pontosságot, stabilitást és kiberbiztonságot kell garantálniuk. A Bizottság, valamint az érintett szervezetek és érdekelt felek ösztönözve vannak arra, hogy fordítsanak kellő figyelmet az MI-rendszerekkel kapcsolatos kockázatok és negatív hatások csökkentésére. A teljesítménymutatók várható szintjét fel kell tüntetni a használati utasításban. A szolgáltatókat arra sürgetik, hogy az említett információkat világos és könnyen érthető, félreértésektől és megtévesztő kijelentésektől mentes módon biztosítsák az alkalmazók számára. A törvényes metrológiára vonatkozó uniós jog, többek között a 2014/31/EU* és a 2014/32/EU** európai parlamenti és tanácsi irányelv célja a mérések pontosságának biztosítása, valamint a kereskedelmi ügyletek átláthatóságának és tisztességességének elősegítése. Ezzel összefüggésben a Bizottságnak az érintett érdekelt felekkel és szervezetekkel, így például a metrológiai és teljesítményértékelési hatóságokkal együttműködve, adott esetben ösztönöznie kell az MI-rendszerekre vonatkozó referenciaértékek és mérési módszertanok kidolgozását. A Bizottságnak ennek során oda kell figyelnie az MI-vel kapcsolatos metrológia és releváns mérési mutatók területén dolgozó nemzetközi partnerekre, és együtt kell működnie azokkal.[16]
(75) A műszaki stabilitás kulcsfontosságú követelmény a nagy kockázatú MI-rendszerek esetében. Reziliensnek kell lenniük az olyan káros vagy más módon nemkívánatos magatartással szemben, amely a rendszer saját, illetve a rendszer működési környezetének korlátaiból eredhet (pl. hibák, tévesztések, következetlenségek, váratlan helyzetek). Ezért technikai és szervezeti intézkedéseket kell hozni a nagy kockázatú MI-rendszerek stabilitásának biztosítása érdekében, például az ilyen káros vagy más módon nemkívánatos magatartás megelőzését vagy minimalizálását szolgáló műszaki megoldások tervezése és fejlesztése révén. Az említett műszaki megoldások magukban foglalhatnak például olyan mechanizmusokat, amelyek lehetővé teszik a rendszer számára, hogy biztonságosan megszakítsa a működését (vészüzemi tervek), ha bizonyos rendellenességek lépnek fel, vagy ha az üzemelésre bizonyos előre meghatározott határokon kívül kerül sor. Az e kockázatokkal szembeni védelem hiánya kihathat a biztonságra, vagy negatívan érintheti az alapvető jogokat, például téves döntések vagy az MI-rendszer által generált helytelen vagy torzított kimenetek miatt.
(76) A kiberbiztonság döntő szerepet játszik annak biztosításában, hogy az MI-rendszerek reziliensek legyenek a rendszer sebezhetőségét kihasználó, rossz szándékú harmadik felek arra irányuló kísérleteivel szemben, hogy megváltoztassák a rendszer használatát, viselkedését vagy teljesítményét, illetve veszélyeztessék a biztonsági tulajdonságait. Az MI-rendszerek elleni kibertámadások befolyásolhatnak MI-specifikus eszközöket, így például tanítóadat-készleteket (pl. adatmérgezés) vagy betanított modelleket (pl. ellenséges támadások vagy következtető támadások), vagy kihasználhatják az MI-rendszer digitális eszközeinek vagy az alapul szolgáló IKT-infrastruktúrának a sebezhetőségét. A kockázatoknak megfelelő kiberbiztonsági szint biztosítása érdekében ezért a nagy kockázatú MI-rendszerek szolgáltatóinak megfelelő intézkedéseket, például biztonsági ellenőrzéseket kell alkalmazniuk, adott esetben figyelembe véve az alapul szolgáló IKT-infrastruktúrát is.
(77) Az e rendeletben foglalt, a stabilitásra és a pontosságra vonatkozó követelmények sérelme nélkül, a digitális elemeket tartalmazó termékekre vonatkozó horizontális kiberbiztonsági követelményekről szóló európai parlamenti és tanácsi rendelet hatálya alá tartozó nagy kockázatú MI-rendszerek e rendelet szerinti kiberbiztonsági követelményeknek való megfelelése az említett rendelettel összhangban igazolható az említett rendeletben foglalt alapvető kiberbiztonsági követelményeknek való megfeleléssel. Azon nagy kockázatú MI-rendszerek, amelyek megfelelnek a digitális elemeket tartalmazó termékekre vonatkozó horizontális kiberbiztonsági követelményekről szóló európai parlamenti és tanácsi rendelet alapvető követelményeinek, úgy tekintendők, mint amelyek megfelelnek az e rendeletben foglalt kiberbiztonsági követelményeknek, amennyiben e követelmények teljesülését az említett rendelet alapján kiállított EU-megfelelőségi nyilatkozat vagy annak részei igazolják. E célból az e rendelettel összhangban nagy kockázatú MI-rendszerként besorolt, digitális elemeket tartalmazó termékekkel összefüggő kiberbiztonsági kockázatoknak a digitális elemeket tartalmazó termékekre vonatkozó horizontális kiberbiztonsági követelményekről szóló európai parlamenti és tanácsi rendelet alapján történő értékelése során foglalkozni kell az MI-rendszer kiberrezilienciájára jelentett kockázatokkal jogosulatlan harmadik felek arra irányuló kísérletei tekintetében, hogy a rendszer sebezhetőségének kiaknázása révén megváltoztassák a rendszer használatát, viselkedését vagy teljesítményét, beleértve az olyan MI-specifikus sebezhetőségeket is, mint az adatmérgezés vagy az ellenséges támadások, valamint adott esetben e rendelet követelményeivel összhangban az alapvető jogokat érintő kockázatokkal.
(78) Az e rendeletben előírt megfelelőségértékelési eljárást kell alkalmazni a digitális elemeket tartalmazó termékekre vonatkozó horizontális kiberbiztonsági követelményekről szóló európai parlamenti és tanácsi rendelet hatálya alá tartozó és e rendelettel összhangban nagy kockázatú MI-rendszerként besorolt, digitális elemeket tartalmazó termékekre vonatkozó alapvető kiberbiztonsági követelményekre. Ez a szabály azonban nem vezethet a digitális elemeket tartalmazó termékekre vonatkozó horizontális kiberbiztonsági követelményekről szóló európai parlamenti és tanácsi rendelet hatálya alá tartozó, digitális elemeket tartalmazó kritikus termékek szükséges megbízhatósági szintjének csökkentéséhez. Ezért e szabálytól eltérve, az e rendelet hatálya alá tartozó és a digitális elemeket tartalmazó termékekre vonatkozó horizontális kiberbiztonsági követelményekről szóló európai parlamenti és tanácsi rendelet értelmében digitális elemeket tartalmazó fontos és kritikus terméknek minősülő olyan nagy kockázatú MI-rendszerekre, amelyekre az e rendelet mellékletében említett, belső ellenőrzésen alapuló megfelelőségértékelési eljárás alkalmazandó, a digitális elemeket tartalmazó termékekre vonatkozó horizontális kiberbiztonsági követelményekről szóló európai parlamenti és tanácsi rendelet megfelelőségértékelésre vonatkozó rendelkezései alkalmazandók az említett rendeletben foglalt kiberbiztonsági követelmények tekintetében. Ebben az esetben az e rendelet hatálya alá tartozó minden egyéb szempont tekintetében az e rendelet mellékletében meghatározott, a belső ellenőrzésen alapuló megfelelőségértékelési eljárásra vonatkozó rendelkezéseket kell alkalmazni. Az ENISA-nak a kiberbiztonsági politika terén rendelkezésre álló ismereteire és szakértelmére, valamint az (EU) 2019/881 európai parlamenti és tanácsi rendelet* alapján az ENISA-ra ruházott feladatokra építve a Bizottságnak együtt kell működnie az ENISA-val az MI-rendszerek kiberbiztonságával kapcsolatos kérdésekben.[17]
(79) Helyénvaló, hogy valamely nagy kockázatú MI-rendszer forgalomba hozataláért vagy üzembe helyezéséért felelősséget vállaljon egy konkrét - a szolgáltatóként meghatározott - természetes vagy jogi személy, függetlenül attól, hogy az említett természetes vagy jogi személy az a személy-e, aki a rendszert tervezte vagy fejlesztette.
(80) A fogyatékossággal élő személyek jogairól szóló ENSZ-egyezmény aláíróiként az Unió és a tagállamok jogi kötelezettséget viselnek azért, hogy megvédjék a fogyatékossággal élő személyeket a megkülönböztetéssel szemben, és előmozdítsák egyenlőségüket, biztosítsák, hogy a fogyatékossággal élő személyek másokkal egyenlő alapon hozzáférjenek az információs és kommunikációs technológiákhoz és rendszerekhez, és biztosítsák a fogyatékossággal élő személyek magánéletének tiszteletben tartását. Tekintettel az MI-rendszerek növekvő jelentőségére és használatára, az egyetemes tervezés elveinek minden új technológiára és szolgáltatásra való alkalmazásának az MI-technológiák által potenciálisan érintett vagy azt használó minden személy - többek között a fogyatékossággal élők - számára biztosítania kell a teljes körű és egyenlő hozzáférést oly módon, hogy az teljes mértékben figyelembe vegye veleszületett méltóságukat és sokféleségüket. Ezért alapvető fontosságú, hogy a szolgáltatók biztosítsák az akadálymentességi követelményeknek, többek között az (EU) 2016/2102 európai parlamenti és tanácsi irányelvnek* és az (EU) 2019/882 irányelvnek való maradéktalan megfelelést. A szolgáltatóknak biztosítaniuk kell az e követelményeknek való, kialakítás általi beépített megfelelést. Ezért a szükséges intézkedéseket a lehető legnagyobb mértékben be kell építeni a nagy kockázatú MI-rendszer kialakításába.[18]
(81) A szolgáltatónak megbízható minőségirányítási rendszert kell létrehoznia, biztosítania kell az előírt megfelelőségértékelési eljárás elvégzését, el kell készítenie a vonatkozó dokumentációt, és létre kell hoznia egy stabil, forgalomba hozatal utáni nyomonkövetési rendszert. A nagy kockázatú MI-rendszerek azon szolgáltatói számára, amelyek a vonatkozó ágazati uniós jog értelmében a minőségirányítási rendszerekre vonatkozó kötelezettségek hatálya alá tartoznak, lehetővé kell tenni, hogy az e rendeletben előírt minőségirányítási rendszer elemeit az említett más ágazati uniós jogszabályban előírt, meglévő minőségirányítási rendszerbe építsék be. Az e rendelet és a meglévő ágazati uniós jog közötti kiegészítő jelleget figyelembe kell venni a jövőbeli szabványosítási tevékenységek során vagy a Bizottság által elfogadott iránymutatásokban is. A nagy kockázatú MI-rendszereket saját használatra üzembe helyező hatóságok a minőségirányítási rendszerre vonatkozó szabályokat elfogadhatják és végrehajthatják a nemzeti vagy adott esetben regionális szinten elfogadott minőségirányítási rendszer részeként, figyelembe véve az ágazat sajátosságait, valamint az érintett hatóság hatásköreit és szervezetét.
(82) E rendelet érvényesítésének lehetővé tétele és az üzemeltetők számára egyenlő versenyfeltételek megteremtése érdekében, valamint figyelembe véve a digitális termékek rendelkezésre bocsátásának különböző formáit, fontos annak biztosítása, hogy minden körülmények között legyen egy olyan, az Unióban letelepedett személy, aki meg tudja adni a hatóságoknak az MI-rendszerek megfelelőségével kapcsolatos minden szükséges információt. Ezért MI-rendszereiknek az Unióban való rendelkezésre bocsátását megelőzően a harmadik országokban letelepedett szolgáltatóknak írásbeli meghatalmazással ki kell nevezniük egy, az Unióban letelepedett meghatalmazott képviselőt. A meghatalmazott képviselő kulcsszerepet játszik a nem az Unióban letelepedett szolgáltatók által az Unióban forgalomba hozott vagy üzembe helyezett nagy kockázatú MI-rendszerek megfelelőségének biztosításában, továbbá az Unióban letelepedett kapcsolattartó szerepét betöltve.
(83) Tekintettel az MI-rendszerek értékláncának jellegére és összetettségére, valamint összhangban az új jogszabályi kerettel, alapvető fontosságú a jogbiztonság garantálása és az e rendeletnek való megfelelés megkönnyítése. Ezért egyértelművé kell tenni az említett értéklánc mentén a releváns gazdasági szereplők - így például az MI-rendszerek fejlesztéséhez esetlegesen hozzájáruló importőrök és forgalmazók - szerepét és konkrét kötelezettségeit. Bizonyos helyzetekben az említett gazdasági szereplők egyszerre több szerepben is eljárhatnak, és ezért az említett szerepekhez társuló valamennyi releváns kötelezettséget együttesen kell teljesíteniük. Az üzemeltető például egyszerre járhat el forgalmazóként és importőrként.
(84) A jogbiztonság biztosítása érdekében egyértelművé kell tenni, hogy bizonyos konkrét feltételek mellett bármely forgalmazót, importőrt, alkalmazót vagy egyéb harmadik felet úgy kell tekinteni, hogy valamely nagy kockázatú MI-rendszer szolgáltatója, és ezért vállalnia kell valamennyi releváns kötelezettséget. Ilyen helyzet állna elő, ha az említett fél egy már forgalomba hozott vagy üzembe helyezett nagy kockázatú MI-rendszeren feltünteti a nevét vagy a védjegyét, az olyan szerződéses megállapodások sérelme nélkül, amelyek a kötelezettségek másképp történő megosztását írják elő. Ilyen helyzet állna elő akkor is, ha az említett fél jelentős módosítást hajt végre egy már forgalomba hozott vagy már üzembe helyezett nagy kockázatú MI-rendszeren oly módon, hogy az e rendelettel összhangban továbbra is nagy kockázatú MI-rendszer marad, vagy jelentősen módosítja egy olyan MI-rendszer rendeltetését - beleértve az általános célú MI-rendszereket is -, amelyet nem minősítettek nagy kockázatúnak, és amelyet már forgalomba hoztak vagy üzembe helyeztek oly módon, hogy az érintett MI-rendszer ezen rendelettel összhangban nagy kockázatú MI-rendszerré válik. Az említett rendelkezéseket az új jogszabályi kereten alapuló azon egyes uniós harmonizációs jogszabályokban megállapított konkrétabb rendelkezések sérelme nélkül kell alkalmazni, amelyekkel együtt kell e rendeletet alkalmazni. Például az (EU) 2017/745 rendelet 16. cikkének (2) bekezdését - amely megállapítja, hogy bizonyos változtatások nem tekintendők egy adott eszköz olyan módosításának, amely befolyásolhatja az alkalmazandó követelményeknek való megfelelését - továbbra is alkalmazni kell az említett rendelet értelmében vett orvostechnikai eszköznek minősülő nagy kockázatú MI-rendszerekre.
(85) Az általános célú MI-rendszerek használhatók önmagukban, nagy kockázatú MI-rendszerként vagy más nagy kockázatú MI-rendszerek alkotóelemeiként. Ezért sajátos jellegük miatt és a felelősségi köröknek a mesterségesintelligencia-értéklánc mentén történő méltányos megosztásának biztosítása érdekében az ilyen rendszerek szolgáltatóinak - függetlenül attól, hogy azokat más szolgáltatók használhatják-e nagy kockázatú MI-rendszerként vagy nagy kockázatú MI-rendszerek alkotóelemeként, és amennyiben e rendelet másként nem rendelkezik - szorosan együtt kell működniük egyrészt a releváns nagy kockázatú MI-rendszerek szolgáltatóival annak érdekében, hogy azok meg tudjanak felelni az e rendelet szerinti releváns kötelezettségeknek, másrészt az e rendelet alapján létrehozott illetékes hatóságokkal.
(86) Amennyiben az ezen rendeletben meghatározott feltételek alapján az MI-rendszert eredetileg forgalomba hozó vagy üzembe helyező szolgáltató e rendelet alkalmazása céljából többé nem tekinthető szolgáltatónak, és amennyiben e szolgáltató kifejezetten nem zárta ki az MI-rendszer nagy kockázatú MI-rendszerré alakítását, az említett szolgáltatónak mindazonáltal szorosan együtt kell működnie és rendelkezésre kell bocsátania a szükséges információkat, valamint biztosítania kell az észszerűen elvárható technikai hozzáférést és egyéb segítséget, amelyre az e rendeletben meghatározott kötelezettségek teljesítése érdekében szükség van, különösen a nagy kockázatú MI-rendszerek megfelelőségértékelésnek való megfelelés tekintetében.
(87) Továbbá amennyiben egy olyan nagy kockázatú MI-rendszer, amely az új jogszabályi kereten alapuló uniós harmonizációs jogszabályok hatálya alá tartozó terméknek a biztonsági alkotórésze, nem kerül a terméktől függetlenül forgalomba hozatalra vagy üzembe helyezésre, a vonatkozó jogszabályban meghatározott termékgyártónak kell teljesítenie a szolgáltató e rendeletben meghatározott kötelezettségeit, és így különösen biztosítania kell, hogy a végtermékbe beágyazott MI-rendszer megfeleljen e rendelet követelményeinek.
(88) Az MI-értéklánc mentén gyakran több fél is szolgáltat MI-rendszereket, eszközöket és nyújt ilyen szolgáltatásokat, emellett pedig olyan alkotóelemeket vagy folyamatokat is szolgáltat, amelyeket a szolgáltató beépít az MI-rendszerbe olyan különböző célok megvalósítása érdekében, mint például a modellek tanítása, a modellek újratanítása, a modellek tesztelése és értékelése, a szoftverbe való integrálás vagy a modellfejlesztés egyéb vonatkozásai. Ezek a felek fontos szerepet játszanak az értékláncban azon nagy kockázatú MI-rendszer szolgáltatója szempontjából, amelybe MI-rendszereiket, eszközeiket, szolgáltatásaikat, alkotóelemeiket vagy folyamataikat integrálják, és - saját szellemitulajdon-jogaik vagy üzleti titkaik veszélyeztetése nélkül - írásbeli megállapodás révén, a technika általánosan elfogadott, mindenkori állása alapján át kell adnia a szükséges információkat, képességeket, technikai hozzáférést és egyéb segítséget az említett szolgáltatónak, annak érdekében, hogy a szolgáltató teljes mértékben eleget tudjon tenni az e rendeletben foglalt kötelezettségeknek.
(89) Az általános célú MI-modellektől eltérő eszközöket, szolgáltatásokat, folyamatokat vagy MI-alkotóelemeket nyilvánosan hozzáférhetővé tevő harmadik felek nem kötelezhetők arra, hogy megfeleljenek az MI-értéklánc mentén fennálló felelősségi körökre vonatkozó követelményeknek, különösen az azokat használó vagy integráló szolgáltatóval szemben, amennyiben az említett eszközöket, szolgáltatásokat, folyamatokat vagy MI-alkotóelemeket szabad és nyílt forráskódú licenc alapján teszik hozzáférhetővé. A szabad és nyílt forráskódú eszközök, szolgáltatások, folyamatok és MI-alkotóelemek fejlesztőit azonban ösztönözni kell a széles körben elfogadott dokumentációs gyakorlatok, így például modellkártyák és adatlapok alkalmazására, hogy ezáltal felgyorsítsák az információmegosztást az MI-értékláncban, lehetővé téve a megbízható MI-rendszerek előmozdítását az Unióban.
(90) A Bizottság önkéntes mintafeltételeket dolgozhat ki és ajánlhat a nagy kockázatú MI-rendszerek szolgáltatói és a nagy kockázatú MI-rendszerekhez használt vagy azokba integrált eszközöket, szolgáltatásokat, alkotóelemeket vagy folyamatokat szolgáltató harmadik felek közötti szerződésekre vonatkozóan, ezzel elősegítve az együttműködést az értéklánc mentén. Az önkéntes mintafeltételek kidolgozása során a Bizottságnak figyelembe kell vennie az egyes ágazatokban vagy üzleti ügyekben alkalmazandó lehetséges szerződéses követelményeket.
(91) Tekintettel az MI-rendszerek jellegére, valamint az esetlegesen a használatukkal összefüggésben a biztonság és az alapvető jogok tekintetében felmerülő kockázatokra, ideértve azt is, hogy biztosítani kell az MI-rendszer teljesítményének valós körülmények között történő, megfelelő nyomon követését, helyénvaló konkrét kötelezettségeket meghatározni az alkalmazók számára. Az alkalmazóknak különösen megfelelő technikai és szervezeti intézkedéseket kell hozniuk annak biztosítása érdekében, hogy a használati utasításokkal összhangban használják a nagy kockázatú MI-rendszereket, és bizonyos egyéb kötelezettségeket is elő kell írni az MI-rendszerek működésének nyomon követésére és adott esetben a nyilvántartás vezetésére vonatkozóan. Továbbá, az alkalmazóknak biztosítaniuk kell, hogy a használati utasítás és az emberi felügyelet e rendeletben meghatározott végrehajtására kijelölt személyek rendelkezzenek az említett feladatok megfelelő ellátásához szükséges szakértelemmel, különösen megfelelő szintű MI-jártassággal, képzettséggel és felhatalmazással. Az említett kötelezettségek nem érinthetik az alkalmazóknak a nagy kockázatú MI-rendszerekkel kapcsolatos, uniós vagy nemzeti jog szerinti egyéb kötelezettségeit.
(92) E rendelet nem érinti a munkáltatóknak az uniós vagy nemzeti jog és gyakorlat - többek között a 2002/14/EK európai parlamenti és tanácsi irányelv* - szerinti, a munkavállalóknak vagy képviselőiknek az MI-rendszerek üzembe helyezésével vagy használatával kapcsolatos döntésekről való tájékoztatására, illetve tájékoztatására és a velük folytatott konzultációra vonatkozó kötelezettségeket. Továbbra is szükséges biztosítani a munkavállalók és képviselőik tájékoztatását a nagy kockázatú MI-rendszerek tervezett munkahelyi bevezetéséről, amennyiben az említett tájékoztatási, illetve tájékoztatási és konzultációs kötelezettségek más jogi eszközökben foglalt feltételei nem teljesülnek. Ezen túlmenően az ilyen tájékoztatáshoz való jog kiegészítő jellegű és szükséges az e rendelet alapjául szolgáló alapvető jogok védelmére irányuló célkitűzés tekintetében. Ebben a rendeletben ezért erre vonatkozó tájékoztatási követelményt kell meghatározni, a munkavállalók meglévő jogainak sérelme nélkül.[19]
(93) Az MI-rendszerekkel kapcsolatos kockázatok keletkezhetnek egyrészt az ilyen rendszerek kialakításának módjából, másrészt származhatnak abból is, ahogyan az MI-rendszereket használják. A nagy kockázatú MI-rendszerek alkalmazói ezért kritikus szerepet játszanak az alapvető jogok védelmében, kiegészítve az MI-rendszer fejlesztése során a szolgáltató kötelezettségeit. Helyzetüknél fogva az alkalmazók képesek a legjobban megérteni, hogy konkrétan hogyan használják majd a nagy kockázatú MI-rendszert, és ezért azonosítani tudnak a fejlesztési szakaszban előre nem látott jelentős potenciális kockázatokat, mivel pontosabban ismerik a felhasználási kontextust, a valószínűleg érintett személyeket vagy személyek csoportjait, ideértve a kiszolgáltatott csoportokat is. Az e rendelet egyik mellékletében felsorolt nagy kockázatú MI-rendszerek alkalmazói szintén kritikus szerepet játszanak a természetes személyek tájékoztatásában, és - amikor természetes személyekkel kapcsolatos döntéseket hoznak vagy segítséget nyújtanak a természetes személyekkel kapcsolatos döntések meghozatalában - adott esetben tájékoztatniuk kell a természetes személyeket arról, hogy esetükben nagy kockázatú MI-rendszert használnak. Ebben a tájékoztatásban szerepelnie kell az MI-rendszer rendeltetésének és a rendszer által hozott döntések típusának. Az alkalmazónak tájékoztatnia kell a természetes személyeket az e rendeletben meghatározott, magyarázathoz való jogukról is. A bűnüldözési célokra használt nagy kockázatú MI-rendszerek tekintetében az említett kötelezettséget az (EU) 2016/680 irányelv 13. cikkével összhangban kell végrehajtani.
(94) Az MI-rendszerek bűnüldözési célú, biometrikus azonosításra történő felhasználása során a biometrikus adatok bárminemű kezelésének meg kell felelnie az (EU) 2016/680 irányelv 10. cikkének, amely csak akkor teszi lehetővé az ilyen adatkezelést, ha arra feltétlenül szükség van, az érintett jogaira és szabadságaira vonatkozó megfelelő garanciák mellett, és amennyiben azt az uniós vagy tagállami jog lehetővé teszi. Az ilyen felhasználás engedélyezése esetén tiszteletben kell tartani az (EU) 2016/680 irányelv 4. cikkének (1) bekezdésében meghatározott elveket is, beleértve a kezelés jogszerűségét, a kezelés tisztességes voltát és az átláthatóságot, a célhoz kötöttséget, a pontosságot és a tárolás korlátozását.
(95) Az alkalmazandó uniós jog, különösen az (EU) 2016/679 rendelet és az (EU) 2016/680 irányelv sérelme nélkül, tekintettel a nem valós idejű távoli biometrikus azonosító rendszerek tolakodó jellegére, a nem valós idejű távoli biometrikus azonosító rendszerek használatára vonatkozóan biztosítékokat kell meghatározni. A nem valós idejű távoli biometrikus azonosító rendszereket mindig arányos és jogszerű módon, a feltétlenül szükséges mértékben - tehát célzottan - kell használni az azonosítandó személyek, a helyszín és az időbeli hatály tekintetében, és a használatnak jogszerűen rögzített videofelvételek zárt adatkészlete alapján kell történnie. A nem valós idejű távoli biometrikus azonosító rendszereket semmi esetre sem szabad a bűnüldözés keretében olyan módon felhasználni, hogy az megkülönböztetés nélküli megfigyeléshez vezessen. A nem valós idejű távoli biometrikus azonosításra vonatkozó feltételek semmi esetre sem szolgálhatnak alapul a valós idejű távoli biometrikus azonosításra vonatkozó tilalom és az arra vonatkozó szigorú kivételek megkerüléséhez.
(96) Az alapvető jogok védelmének hatékony biztosítása érdekében a nagy kockázatú MI-rendszerek olyan alkalmazóinak, amelyek közjogi szervnek minősülnek vagy amelyek közszolgáltatásokat nyújtó magánszervezetek, továbbá az e rendelet egyik mellékletében felsorolt, bizonyos nagy kockázatú MI-rendszerek alkalmazóinak - így például a bankoknak vagy a biztosítóknak - a használatbavétel előtt alapvetőjogi hatásvizsgálatot kell végezniük. Magánszervezetek is nyújthatnak a magánszemélyek számára fontos, állami jellegű szolgáltatásokat. Az ilyen közszolgáltatásokat nyújtó magánszervezetek közérdekű feladatokkal állnak kapcsolatban, például az oktatás, az egészségügy, a szociális szolgáltatások, a lakhatás és az igazságszolgáltatás területén. Az alapvetőjogi hatásvizsgálat célja, hogy az alkalmazó azonosítsa a valószínűleg érintett egyének vagy egyének csoportjainak jogait érintő konkrét kockázatokat, és azonosítsa az említett kockázatok bekövetkezése esetén meghozandó intézkedéseket. A hatásvizsgálatot a nagy kockázatú MI-rendszer bevezetését megelőzően kell lefolytatni, és aktualizálni kell, ha az alkalmazó úgy ítéli meg, hogy a releváns tényezők bármelyike megváltozott. A hatásvizsgálat keretében azonosítani kell az alkalmazó azon releváns folyamatait, amelyekben a nagy kockázatú MI-rendszert a rendeltetésének megfelelően használni fogják, és tartalmaznia kell annak leírását, hogy a rendszert milyen időtartamon keresztül és milyen gyakran használják majd, valamint azon természetes személyek és csoportok konkrét kategóriáinak leírását, akiket és amelyeket a rendszer a konkrét felhasználási kontextusban valószínűleg érint. A vizsgálatnak ki kell terjednie az említett személyek vagy csoportok alapvető jogaira valószínűleg hatást gyakorló konkrét kár kockázatának azonosítására is. Ezen vizsgálat elvégzése során az alkalmazónak figyelembe kell vennie a hatás megfelelő értékelése szempontjából releváns információkat, többek között, de nem kizárólag a nagy kockázatú MI-rendszer szolgáltatója által a használati útmutatóban megadott információkat. Az azonosított kockázatok fényében az alkalmazóknak meg kell határozniuk az említett kockázatok bekövetkezése esetén meghozandó intézkedéseket, ideértve például az említett konkrét felhasználási kontextusban alkalmazott irányítási intézkedéseket, így például a használati utasítás szerinti emberi felügyeletre vonatkozó szabályokat vagy a panaszkezelési és jogorvoslati eljárásokat, mivel ezek a felhasználás konkrét eseteiben hozzájárulhatnak az alapvető jogokat érintő kockázatok enyhítéséhez. A hatásvizsgálat elvégzését követően az alkalmazónak értesítenie kell az érintett piacfelügyeleti hatóságot. Adott esetben a hatásvizsgálat elvégzéséhez szükséges releváns információk összegyűjtése érdekében a nagy kockázatú MI-rendszerek alkalmazói - különösen ha az MI-rendszereket a közszférában használják - bevonhatják az érintett érdekelt feleket, ideértve az MI-rendszer által valószínűleg érintett személyek csoportjainak képviselőit, független szakértőket és civil társadalmi szervezeteket az ilyen hatásvizsgálatok elvégzésébe és a kockázatok bekövetkezése esetén meghozandó intézkedések kidolgozásába. A Mesterséges Intelligenciával Foglalkozó Európai Hivatalnak (a továbbiakban: MI-hivatal) sablont kell kidolgoznia a megfelelés elősegítése és az alkalmazókra háruló adminisztratív terhek csökkentése érdekében.
(97) A jogbiztonság lehetővé tétele érdekében az általános célú MI-modellek fogalmát egyértelműen meg kell határozni, és el kell különíteni az MI-rendszerek fogalmától. A fogalommeghatározásnak az általános célú MI-modellek fő funkcionális jellemzőin kell alapulnia, különös tekintettel a modell általánosságára és különféle feladatok széles körének kompetens elvégzésére való képességére. Ezeket a modelleket jellemzően nagy mennyiségű adattal tanítják, különböző módszerekkel - például önfelügyelt, felügyelet nélküli vagy megerősítéses tanulással. Az általános célú MI-modellek különböző módon kerülhetnek forgalomba, többek között könyvtárakon vagy alkalmazásprogramozási felületeken (API-kon) keresztül, közvetlen letöltés formájában vagy fizikai példányként. Ezek a modellek tovább módosíthatók vagy finomíthatók új modellekké. Bár az MI-modellek az MI-rendszerek alapvető alkotóelemei, önmagukban nem minősülnek MI-rendszereknek. Az MI-modellek további alkotóelemek, például felhasználói felület hozzáadását teszik szükségessé ahhoz, hogy MI-rendszerekké váljanak. Az MI-modelleket jellemzően az MI-rendszerekbe integrálják, és azok részét képezik. E rendelet egyedi szabályokat állapít meg az általános célú MI-modellekre és a rendszerszintű kockázatot jelentő általános célú MI-modellekre vonatkozóan, amelyeket akkor is alkalmazni kell, ha ezek a modellek integráltak vagy egy MI-rendszer részét képezik. Lényeges, hogy az általános célú MI-modellek szolgáltatóira vonatkozó kötelezettségeket alkalmazni kell az általános célú MI-modellek forgalomba hozatalától kezdve. Ha egy általános célú MI-modell szolgáltatója saját modellt épít be saját, MI-rendszerébe, amelyet forgalomba hoz vagy üzembe helyez, az adott modellt úgy kell tekinteni, mint ami forgalomban van, és ezért - az MI-rendszerekre vonatkozó kötelezettségeken felül - az e rendeletben a modellekre vonatkozóan meghatározott kötelezettségeket továbbra is alkalmazni kell. A modellekre vonatkozóan megállapított kötelezettségek nem alkalmazandók abban az esetben, ha egy saját modellt olyan, tisztán belső folyamatokhoz használnak fel, amelyek nem nélkülözhetetlenek egy termék vagy szolgáltatás harmadik felek részére történő nyújtásához, és ez nem érinti a természetes személyek jogait. A rendszerszintű kockázatot jelentő általános célú MI-modellekre mindig vonatkozniuk kell az e rendelet szerinti releváns kötelezettségeknek, tekintettel a potenciális, jelentősen negatív hatásaikra. A fogalommeghatározás nem terjedhet ki a forgalomba hozatal előtt kizárólag kutatási, fejlesztési és prototípus-alkotási tevékenységek céljából használt MI-modellekre. Ez nem érinti az e rendeletnek való megfelelésre vonatkozó kötelezettséget, amennyiben az említett tevékenységeket követően a modellt forgalomba hozzák.
(98) Mivel egy modell általánosságát többek között számos paraméter is meghatározhatja, a legalább egymilliárd paramétert tartalmazó és nagy adatmennyiséggel, nagy léptékű önfelügyelet mellett tanított modelleket úgy kell tekinteni, mint amelyek jelentős általánosságot mutatnak, és alkalmasak a különböző feladatok széles körének kompetens elvégzésére.
(99) A nagy generatív MI-modellek az általános célú MI-modellek tipikus példái, mivel rugalmas tartalomelőállítást tesznek lehetővé, például szöveg, audio, képek vagy videó formájában, amelyekbe könnyen beleillik különféle feladatok széles köre.
(100) Ha egy általános célú MI-modellt MI-rendszerbe integrálnak vagy ha a modell az MI-rendszer részét képezi, akkor ezt a rendszert általános célú MI-rendszernek kell tekinteni, amennyiben az említett integráció miatt a rendszer képes számos különböző célt szolgálni. Az általános célú MI-rendszerek használhatók közvetlenül, vagy integrálhatók más MI-rendszerekbe.
(101) Az általános célú MI-modellek szolgáltatói különleges szerepet játszanak és különleges felelősséget viselnek a mesterségesintelligencia-értéklánc mentén, mivel az általuk biztosított modellek számos downstream rendszer alapját képezhetik, amelyeket gyakran downstream szolgáltatók biztosítanak, ez pedig a modellek és azok képességeinek alapos ismeretét teszi szükségessé, egyrészt hogy integrálni tudják a modelleket a termékeikbe, másrészt hogy eleget tegyenek az ezen, illetve más rendeletek szerinti kötelezettségeiknek. Ezért arányos átláthatósági intézkedéseket kell megállapítani, beleértve a dokumentáció elkészítését és naprakészen tartását, valamint az általános célú MI-modellre vonatkozó információk nyújtását a downstream szolgáltatók általi használatra. A műszaki dokumentációt az általános célú MI-modell szolgáltatójának kell elkészítenie és naprakészen tartania annak érdekében, hogy azt kérésre az MI-hivatal és az illetékes nemzeti hatóságok rendelkezésére bocsássa. Az ilyen dokumentációba minimálisan belefoglalandó elemeket meg kell határozni e rendelet konkrét mellékleteiben. A Bizottságot fel kell hatalmazni arra, hogy a folyamatosan változó technológiai fejlődés fényében felhatalmazáson alapuló jogi aktusok révén módosítsa az említett mellékleteket.
(102) Az olyan szoftverek és adatok, köztük a modellek, amelyeket - a nyílt megosztást, és a felhasználók általi szabad hozzáférést, használatot, módosítást és terjesztést mind eredeti, mind módosított formában lehetővé tévő - szabad és nyílt forráskódú licenc alapján bocsátanak ki, hozzájárulhatnak a kutatáshoz és az innovációhoz a piacon, és jelentős növekedési lehetőségeket biztosíthatnak az uniós gazdaság számára. A szabad és nyílt forráskódú licenc alapján kibocsátott általános célú MI-modelleket magas szintű átláthatóságot és nyitottságot biztosítóként kell tekinteni, amennyiben azok paramétereit - beleértve a súlyokat, a modell architektúrájára vonatkozó információkat és a modellhasználatra vonatkozó információkat - nyilvánosan hozzáférhetővé teszik. A licencet akkor is szabad és nyílt forráskódúnak kell tekinteni, ha lehetővé teszi a felhasználók számára a szoftverek és adatok futtatását, másolását, terjesztését, tanulmányozását, módosítását és tökéletesítését, beleértve a modelleket is, feltéve, hogy feltüntetik a modell eredeti szolgáltatóját, és tiszteletben tartják az azonos vagy összehasonlítható terjesztési feltételeket.
(103) A szabad és nyílt forráskódú MI-alkotóelemek magukban foglalják az adott MI-rendszer szoftvereit és adatait - beleértve a modelleket és az általános célú MI-modelleket -, eszközeit, szolgáltatásait vagy folyamatait. A szabad és nyílt forráskódú MI-alkotóelemek különböző csatornákon keresztül biztosíthatók, beleértve a szabadon hozzáférhető adattárakon történő fejlesztésüket is. E rendelet alkalmazásában az olyan MI-alkotóelemek, amelyeket díj ellenében bocsátanak rendelkezésre vagy más módon használnak bevétel szerzésére - például az MI-alkotóelemhez kapcsolódó technikai támogatás vagy egyéb szolgáltatások, többek között szoftverplatformon keresztül történő nyújtása vagy a személyes adatoknak kizárólagosan a szoftver biztonságának, kompatibilitásának vagy interoperabilitásának javítása céljából történő felhasználástól eltérő felhasználása révén -, nem részesülhetnek a szabad és nyílt forráskódú MI-alkotóelemekre vonatkozó kivételek előnyeiből, a mikrovállalkozások közötti ügyletek kivételével. Az a tény, hogy MI-alkotóelemeket nyílt adattárakon keresztül rendelkezésre bocsátanak, önmagában nem minősülhet bevételszerzésnek.
(104) Az általános célú MI-modellekre előírt átláthatósági követelmények tekintetében kivételeket kell alkalmazni az olyan általános célú MI-modellek szolgáltatóira, amelyeket szabad és nyílt forráskódú licenc alapján bocsátanak ki, és amelyek paramétereit - többek között a súlyokat, a modellarchitektúrára vonatkozó információkat és a modellhasználatra vonatkozó információkat - nyilvánosan hozzáférhetővé teszik, kivéve, ha úgy tekinthető, hogy rendszerszintű kockázatot jelentenek, amely esetben az a körülmény, hogy a modell átlátható és nyílt forráskódú licenccel rendelkezik, nem tekinthető elegendő oknak az e rendelet szerinti kötelezettségeknek való megfelelés kizárására. Mindenesetre, tekintve, hogy az általános célú MI-modellek szabad és nyílt forráskódú licenc alapján történő kibocsátása nem feltétlenül fed fel lényeges információkat a modell tanításához vagy finomhangolásához használt adatkészletről, valamint arról, hogy ezáltal hogyan biztosították a szerzői jognak való megfelelést, az átláthatósággal kapcsolatos követelményeknek való megfelelés alóli, az általános célú MI-modellekre vonatkozó kivétel nem vonatkozhat a modell tanítására használt tartalomról szóló összefoglaló elkészítésének kötelezettségére és az uniós szerzői jognak való megfelelést szolgáló szabályzat elkészítésének kötelezettségére, különösen az (EU) 2019/790 európai parlamenti és tanácsi irányelv* 4. cikkének (3) bekezdése szerinti jogfenntartás azonosítására és betartására vonatkozó kötelezettségre.[20]
(105) Az általános célú MI-modellek, különösen a nagy generatív MI-modellek, amelyek képesek szövegek, képek és egyéb tartalmak létrehozására, egyedülálló innovációs lehetőségeket kínálnak, ugyanakkor kihívást is jelentenek a művészek, szerzők és más alkotók számára, a tekintetben is, hogy milyen módon hozzák létre és terjesztik kreatív tartalmaikat, illetve hogy azt hogyan használják és fogyasztják. Az ilyen modellek kidolgozásához és tanításához hatalmas mennyiségű szöveghez, képhez, videóhoz és egyéb adathoz való hozzáférésre van szükség. A szöveg- és adatbányászati technikák ebben az összefüggésben széles körben alkalmazhatók az olyan tartalmak kinyerésére és elemzésére, amelyek a szerzői és szomszédos jogok védelme alatt állhatnak. A szerzői jogi védelem alatt álló tartalom felhasználásához az érintett jogosult engedélye szükséges, amennyiben nincsenek érvényben szerzői jogi kivételek és korlátozások. Az (EU) 2019/790 irányelv kivételeket és korlátozásokat vezetett be, amelyek bizonyos feltételek mellett lehetővé teszik művek vagy más védelem alatt álló teljesítmények szöveg- és adatbányászat céljából történő többszörözését és kimásolását. E szabályok értelmében a jogosultak fenntarthatják a műveikre vagy más védelem alatt álló teljesítményeikre vonatkozó jogaikat a szöveg- és adatbányászat megakadályozása érdekében, kivéve, ha az tudományos kutatás céljából történik. Amennyiben a kívülmaradási jogot kifejezetten és megfelelő módon fenntartották, az általános célú MI-modellek szolgáltatóinak engedélyt kell szerezniük a jogosultaktól, ha szöveg- és adatbányászatot kívánnak végezni az ilyen műveken.
(106) Az általános célú MI-modelleket az uniós piacon forgalomba hozó szolgáltatóknak biztosítaniuk kell az e rendeletben foglalt vonatkozó kötelezettségeknek való megfelelést. E célból az általános célú MI-modellek szolgáltatóinak olyan szabályokat kell kialakítaniuk, amely megfelel a szerzői és szomszédos jogokra vonatkozó uniós jognak, különösen a jogosultak által az (EU) 2019/790 irányelv 4. cikkének (3) bekezdése alapján kifejezett jogfenntartásnak való megfelelés érdekében. Minden olyan szolgáltatónak, amely általános célú MI-modellt hoz forgalomba az uniós piacon, meg kell felelnie e kötelezettségnek, függetlenül attól, hogy mely joghatóság területén kerül sor az említett általános célú MI-modellek betanításának alapjául szolgáló, a szerzői jog szempontjából releváns tevékenységre. Erre azért van szükség, hogy egyenlő versenyfeltételeket lehessen biztosítani az általános célú MI-modellek szolgáltatói számára, hogy egyetlen szolgáltató se juthasson versenyelőnyhöz az uniós piacon azáltal, hogy az Unióban biztosítottaknál alacsonyabb szerzői jogi normákat alkalmaz.
(107) Az általános célú MI-modellek előtanítása és tanítása során felhasznált adatokat - köztük a szerzői jog által védett szövegeket és adatokat - illető átláthatóság növelése érdekében helyénvaló, hogy az ilyen modellek szolgáltatói kellően részletes összefoglalót készítsenek és tegyenek nyilvánosan hozzáférhetővé az általános célú MI-modell tanításához használt tartalomról. Az üzleti titkok és a bizalmas üzleti információk védelmének szükségességét kellően figyelembe véve, ezen összefoglalónak általánosságban véve kell átfogónak lennie, és nem technikai szempontból részletesnek, hogy megkönnyítse a jogos érdekkel rendelkező felek - köztük a szerzői jogok jogosultjai - számára az uniós jog szerinti jogaik gyakorlását és érvényesítését, például a modell tanítására felhasznált fő adatgyűjtemények vagy -készletek - például a nagy magán- vagy nyilvános adatbázisok vagy adatarchívumok - felsorolásával, valamint az egyéb felhasznált adatforrások részletes leírásával. Helyénvaló, hogy az MI-hivatal rendelkezésre bocsássa az összefoglaló mintáját, amelynek egyszerűnek és hatékonynak kell lennie, és lehetővé kell tennie a szolgáltató számára, hogy az előírt összefoglalót részletes leírás formájában bocsássa rendelkezésre.
(108) Az általános célú MI-modellek szolgáltatói számára előírt azon kötelezettségek tekintetében, hogy alakítsanak ki az uniós szerzői jognak való megfelelést célzó szabályokat, és hogy tegyék nyilvánosan hozzáférhetővé a tanításhoz használt tartalom összefoglalóját, az MI-hivatalnak nyomon kell követnie, hogy a szolgáltató teljesítette-e ezeket a kötelezettségeket, anélkül, hogy ellenőrizné vagy az egyes művekre kiterjedően értékelné a tanítási adatokat a szerzői jogoknak való megfelelés tekintetében. E rendelet nem érinti az uniós jogban előírt szerzői jogi szabályok érvényesítését.
(109) Az általános célú MI-modellek szolgáltatóira alkalmazandó kötelezettségeknek való megfelelésnek a modellszolgáltató típusával összemérhetőnek és arányosnak kell lennie, kizárva a megfelelés szükségességét azon személyek esetében, akik nem szakmai vagy tudományos kutatási célokra fejlesztenek vagy használnak modelleket, mindazonáltal ösztönözve őket arra, hogy önkéntes alapon feleljenek meg ezen követelményeknek. Az említett kötelezettségeknek való megfelelés során - az uniós szerzői jog sérelme nélkül - kellően figyelembe kell venni a szolgáltató méretét, és lehetővé kell tenni a kkv-k - köztük az induló innovatív vállalkozások - számára a megfelelés biztosításának egyszerűsített módjait, amelyek nem jelenthetnek túlzott költségeket, és nem gátolhatják az ilyen modellek használatát. Egy modell módosítása vagy finomhangolása esetén az általános célú MI-modellek szolgáltatóinak kötelezettségeit az említett módosításra vagy finomhangolásra kell korlátozni, például azáltal, hogy a már meglévő műszaki dokumentációt kiegészítik a módosításokra vonatkozó információkkal, beleértve a tanításra használt új adatforrásokat is, az értékláncra vonatkozóan e rendeletben előírt kötelezettségeknek való megfelelés módjaként.
(110) Az általános célú MI-modellek rendszerszintű kockázatokat jelenthetnek, amelyek a teljesség igénye nélkül többek között magukban foglalják a súlyos balesetekhez, a kritikus ágazatok zavaraihoz, valamint a közegészségre és a közbiztonságra gyakorolt súlyos következményekhez kapcsolódó tényleges vagy észszerűen előrelátható negatív hatásokat; a demokratikus folyamatokra, a közbiztonságra és a gazdasági biztonságra gyakorolt tényleges vagy észszerűen előrelátható negatív hatásokat; jogellenes, hamis vagy megkülönböztető tartalom terjesztését. A rendszerszintű kockázatokat úgy kell értelmezni, hogy azok a modell képességeivel és a modell elterjedésével növekednek, a modell teljes életciklusa során felmerülhetnek, és azokat befolyásolják a rendellenes használat körülményei, a modell megbízhatósága, a modell méltányossága és a modell biztonsága, a modell autonómiaszintje, annak eszközökhöz való hozzáférése, az új vagy kombinált modalitások, a kibocsátási és terjesztési stratégiák, a biztosítékok eltávolításának lehetősége és egyéb tényezők. Így különösen, a nemzetközi megközelítések keretében eddig beazonosították annak szükségességét, hogy figyelmet fordítsanak a következőkre: az esetleges szándékos rendellenes használattal vagy az emberi szándékkal való összehangolással kapcsolatos, nem szándékosan előidézett ellenőrzési problémákból eredő kockázatok; vegyi, biológiai, radiológiai és nukleáris kockázatok, például a belépési korlátok eltávolításának módjai többek között a fegyverek fejlesztése, tervezése vagy használata terén; offenzív kiberképességek, például a sebezhetőség feltárásának, kiaknázásának vagy operatív kihasználásának elősegítésére szolgáló módszerek; az interakció és az eszközhasználat hatásai, beleértve például a fizikai rendszerek vezérlésére és a kritikus infrastruktúrákba való beavatkozásra való képességet; az önmagukról másolatot készítő, "önreplikációra" képes vagy más modelleket tanító modellekből eredő kockázatok; az, hogy a modellek hogyan vezethetnek káros torzításhoz és megkülönböztetéshez, ami kockázatot hordoz magában az egyénekre, közösségekre vagy társadalmakra nézve; a dezinformáció elősegítése vagy a magánélet megsértése a demokratikus értékeket és az emberi jogokat fenyegető veszélyek által; annak kockázata, hogy egy adott esemény olyan láncreakcióhoz vezethet, amelynek jelentős negatív hatásai lehetnek egy egész városra, egy teljes tevékenységi területre vagy egy egész közösségre.
(111) Helyénvaló módszertant létrehozni az általános célú MI-modellek rendszerszintű kockázatot jelentő általános célú MI-modellként való besorolására. Mivel a különösen kiterjedt képességek rendszerszintű kockázatokat eredményeznek, az általános célú MI-modell akkor tekintendő rendszerszintű kockázatot jelentőnek, ha megfelelő technikai eszközök és módszertanok alapján értékelt, nagy hatású képességekkel rendelkezik, vagy elterjedtsége miatt jelentős hatással van a belső piacra. Az általános célú MI-modellek esetében a nagy hatású képességek olyan képességeket jelentenek, amelyek megfelelnek a legfejlettebb általános célú MI-modellekben rögzített képességeknek, vagy meghaladják azokat. Adott modell képességeinek teljes kiterjedését jobban meg lehetne érteni a modell forgalomba hozatala után, vagy akkor, amikor az alkalmazók interakcióba lépnek a modellel. A technika állása szerint e rendelet hatálybalépésekor a modellképességekre vonatkozó releváns közelítések egyike az általános célú MI-modell betanításához használt, lebegőpontos műveletekben mért összesített számítási mennyiség. A betanításhoz használt összesített számítási mennyiség magában foglalja az olyan tevékenységek és módszerek során alkalmazott számításokat, amelyek célja a modell képességeinek fokozása a bevezetést megelőzően, mint például az előtanítás, a szintetikus adatelőállítás és a finomhangolás. Ezért meg kell határozni a lebegőpontos műveletek kiinduló küszöbértékét, amely - ha azt egy általános célú MI-modell eléri - azon vélelemhez vezet, hogy a modell rendszerszintű kockázatot jelentő általános célú MI-modell. E küszöbértéket idővel ki kell igazítani, hogy tükrözze a technológiai és az ágazati változásokat, így például az algoritmus fejlesztéseit vagy a nagyobb hardverhatékonyságot, és ki kell azt egészíteni a modellképességre vonatkozó referenciaértékekkel és mutatókkal. Ennek érdekében az MI-hivatalnak együtt kell működnie a tudományos közösséggel, az ágazattal, a civil társadalommal és más szakértőkkel. A küszöbértékeknek, valamint a nagy hatású képességek értékelésére szolgáló eszközöknek és referenciaértékeknek jól előre kell tudniuk jelezni az általánosságot, a modell képességeit, valamint az általános célú MI-modellek kapcsolódó rendszerszintű kockázatait, és figyelembe vehetik a modell forgalomba hozatalának módját vagy az általa esetlegesen érintett felhasználók számát. E rendszer kiegészítéseképpen lehetővé kell tenni a Bizottság számára, hogy egyedi határozatokat hozzon, amelyekkel egy általános célú MI-modellt rendszerszintű kockázatot jelentő általános MI-modellként jelöl meg, ha megállapítást nyer, hogy az ilyen modell a meghatározott küszöbérték által rögzített képességekkel vagy hatással egyenértékű képességekkel vagy hatással rendelkezik. Az említett határozatot az e rendelet mellékletében meghatározott, a rendszerszintű kockázatot jelentő általános célú MI-modell megjelölésére vonatkozó, olyan kritériumok átfogó értékelése alapján kell meghozni, mint például a tanítóadat-készlet minősége vagy mérete, az üzleti és a végfelhasználók száma, az AI-modell bemeneti és kimeneti modalitásai, autonómiaszintje és méretezhetősége, vagy a rendelkezésére álló eszközök. Azon szolgáltató indokolással ellátott kérésére, amelynek modelljét rendszerszintű kockázatot jelentő általános MI-modellként jelöltek meg, a Bizottságnak figyelembe kell vennie a kérelmet, és a Bizottság dönthet úgy, hogy újraértékeli, vajon az általános célú MI-modell továbbra is rendszerszintű kockázatot jelentőnek tekinthető-e.
(112) Helyénvaló emellett tisztázni az az általános célú MI-modellek rendszerszintű kockázatot jelentő általános célú MI-modellként való besorolására szolgáló eljárást. Egy olyan általános célú MI-modellt, amely megfelel a nagy hatású képességekre alkalmazandó küszöbértéknek, rendszerszintű kockázatot jelentő általános célú MI-modellnek kell tekinteni. A szolgáltatónak legkésőbb két héttel azt követően értesítenie kell az MI-hivatalt, hogy a követelmények teljesülnek, vagy ismertté válik, hogy egy általános célú MI-modell meg fog felelni a vélelemhez vezető követelményeknek. Ez különösen fontos a lebegőpontos műveletek küszöbértékivel kapcsolatban, mivel az általános célú MI-modellek betanítása jelentős mértékű tervezést igényel, amely magában foglalja a számítási erőforrások előzetes elosztását is, és ezért az általános célú MI-modellek szolgáltatói tudhatják, hogy modelljük a betanítás befejezése előtt el fogja-e érni a küszöbértéket. Az említett értesítéssel összefüggésben a szolgáltatónak képesnek kell lennie annak bizonyítására, hogy egy általános célú MI-modell - sajátos jellemzői miatt - kivételesen nem jelent rendszerszintű kockázatot, és ezért nem minősíthető rendszerszintű kockázatot jelentő általános célú MI-modellnek. Ez az információ értékes az MI-hivatal számára a rendszerszintű kockázatokkal járó általános célú MI-modellek forgalomba hozatalának előrejelzéséhez, és a szolgáltatók már korán kapcsolatba léphetnek az MI-hivatallal. Az említett információ különösen fontos az olyan általános célú MI-modellek tekintetében, amelyeket nyílt forráskódú modellként terveznek kibocsátani, tekintve, hogy a nyílt forráskódú modellek kibocsátását követően nehezebben hajthatók végre az e rendelet szerinti kötelezettségeknek való megfelelés biztosításához szükséges intézkedések.
(113) Ha a Bizottság tudomást szerez arról, hogy egy általános célú MI-modell megfelel egy olyan rendszerszintű kockázatot jelentő általános célú MI-modellként való besorolás követelményeinek, amely korábban nem volt ismert, vagy amelyről a releváns szolgáltató elmulasztotta értesíteni a Bizottságot, a Bizottságot fel kell hatalmazni az ilyenként való megjelölésre. Egy minősített riasztási rendszernek kell biztosítania, hogy - az MI-hivatal nyomonkövetési tevékenységei mellett - az esetlegesen rendszerszintű kockázatot jelentő általános célú MI-modellként besorolandó általános célú MI-modellekkel foglalkozó tudományos testület is felhívja erre az MI-hivatal figyelmét.
(114) A rendszerszintű kockázatot jelentő általános célú MI-modellek szolgáltatóira az általános célú MI-modellek szolgáltatói számára előírt kötelezettségeken túlmenően olyan kötelezettségeknek is vonatkoznia kell, amelyek célja az említett kockázatok azonosítása és enyhítése, valamint a megfelelő szintű kiberbiztonsági védelem biztosítása, függetlenül attól, hogy a modellt önálló modellként vagy egy MI-rendszerbe vagy termékbe ágyazottként szolgáltatják-e. Az említett célkitűzések elérése érdekében e rendeletnek elő kell írnia a szolgáltatók számára, hogy - különösen az első forgalomba hozatal előtt - végezzék el a szükséges modellértékeléseket, ideértve a modellek támadói szempontú tesztelésének elvégzését és dokumentálását, többek között az adott eset függvényében belső vagy független külső tesztelés révén is. Emellett a rendszerszintű kockázatot jelentő általános célú MI-modellek szolgáltatóinak folyamatosan értékelniük és enyhíteniük kell a rendszerszintű kockázatokat, többek között kockázatkezelési szabályzatok - így például elszámoltathatósági és irányítási folyamatok - bevezetése, a forgalomba hozatal utáni nyomon követés végrehajtása, megfelelő intézkedéseknek a modell teljes életciklusa során történő meghozatala, valamint az MI-értéklánc érintett szereplőivel való együttműködés révén.
(115) A rendszerszintű kockázatot jelentő általános célú MI-modellek szolgáltatóinak fel kell mérniük és enyhíteniük kell az esetleges rendszerszintű kockázatokat. Ha az olyan általános célú MI-modell esetében, amely rendszerszintű kockázatokat jelenthet, a kapcsolódó kockázatok azonosítására és megelőzésére irányuló erőfeszítések ellenére a modell fejlesztése vagy használata súlyos váratlan eseményt okoz, az általános célú MI-modell szolgáltatójának indokolatlan késedelem nélkül nyomon kell követnie a váratlan eseményt, és jelentenie kell a Bizottság és az illetékes nemzeti hatóságok részére a releváns információkat és a lehetséges korrekciós intézkedéseket. Továbbá, a szolgáltatóknak megfelelő szintű kiberbiztonsági védelmet kell biztosítaniuk a modell és adott esetben a fizikai infrastruktúrája számára a modell teljes életciklusa során. A rosszindulatú felhasználással vagy támadásokkal kapcsolatos rendszerszintű kockázatokhoz kapcsolódó kiberbiztonsági védelemnek megfelelően szem előtt kell tartania a véletlen modellszivárgást, a jogosulatlan kibocsátásokat, a biztonsági intézkedések megkerülését, valamint a kibertámadásokkal, a jogosulatlan hozzáféréssel vagy a modell-lopással szembeni védelmet. Az említett védelmet megkönnyítheti a modellsúlyok, az algoritmusok, a szerverek és az adatkészletek biztosítása, így például az információbiztonságra vonatkozó operatív biztonsági intézkedések, konkrét kiberbiztonsági politikák, megfelelő technikai és bevált megoldások, valamint kiber- és fizikai hozzáférési ellenőrzések révén, amelyek megfelelnek a releváns körülményeknek és a felmerülő kockázatoknak.
(116) Az MI-hivatalnak ösztönöznie kell és elő kell segítenie a gyakorlati kódexek kidolgozását, felülvizsgálatát és kiigazítását, figyelembe véve a nemzetközi megközelítéseket. Az általános célú MI-modellek valamennyi szolgáltatóját fel lehetne kérni a részvételre. Annak biztosítása érdekében, hogy a gyakorlati kódexek tükrözzék a technika mindenkori állását, és kellően figyelembe vegyék a különböző nézőpontokat, az MI-hivatalnak együtt kell működnie az illetékes nemzeti illetékes hatóságokkal, és adott esetben konzultálnia kell a civil társadalmi szervezetekkel és más érdekelt felekkel és szakértőkkel - egyebek mellett a tudományos testülettel - az ilyen kódexek kidolgozása során. A gyakorlati kódexeknek ki kell terjedniük az általános célú MI-modellek, valamint a rendszerszintű kockázatot jelentő általános célú MI-modellek szolgáltatóira vonatkozó kötelezettségekre. Emellett a rendszerszintű kockázatok tekintetében a gyakorlati kódexeknek elő kell segíteniük egy, a rendszerszintű kockázatok típusára és jellegére vonatkozó uniós szintű kockázati taxonómia létrehozását, ideértve azok forrásait is. A gyakorlati kódexeknek a kockázatok értékelésére és csökkentésére irányuló konkrét intézkedésekre is összpontosulniuk kell.
(117) A gyakorlati kódexeknek központi eszközként kell szolgálniuk az általános célú MI-modellek szolgáltatói számára az e rendeletben előírt kötelezettségek megfelelő betartásához. A gyakorlati kódexeknek alkalmasnak kell lenniük arra, hogy a szolgáltatók támaszkodjanak rájuk a kötelezettségeknek való megfelelés bizonyítása érdekében. A Bizottság végrehajtási jogi aktusok útján határozhat úgy, hogy jóváhagy egy gyakorlati kódexet, és általános érvényességgel ruházza fel azt az Unión belül, vagy - alternatív módon - közös szabályokról rendelkezik a releváns kötelezettségek végrehajtására vonatkozóan, ha - e rendelet alkalmazandóvá válásáig - a gyakorlati kódexet nem lehet véglegesíteni, vagy azt az MI-hivatal nem tartja megfelelőnek. Miután egy harmonizált szabvány közzétételre kerül és az MI-hivatal úgy ítéli meg, hogy az alkalmas a releváns kötelezettségek lefedésére, az európai harmonizált szabványnak való megfelelésnek biztosítania kell a szolgáltatók számára a megfelelés vélelmét. Az általános célú MI-modellek szolgáltatói számára továbbá lehetővé kell tenni, hogy megfelelő alternatív eszközökkel igazolják a megfelelést, ha nem állnak rendelkezésre gyakorlati kódexek vagy harmonizált szabványok, vagy ha úgy döntenek, hogy nem támaszkodnak azokra.
(118) E rendelet azáltal szabályozza az MI-rendszereket és az MI-modelleket, hogy bizonyos követelményeket és kötelezettségeket ír elő az azokat az Unióban forgalomba hozó, üzembe helyező vagy használó releváns piaci szereplők számára, ezáltal kiegészítve az ilyen rendszereket vagy modelleket az (EU) 2022/2065 rendelet által szabályozott szolgáltatásaikba beépítő közvetítő szolgáltatók kötelezettségeit. Amennyiben az ilyen rendszerek vagy modellek kijelölt online óriásplatformokba vagy nagyon népszerű online keresőprogramokba vannak beágyazva, azokra az (EU) 2022/2065 rendeletben előírt kockázatkezelési keret vonatkozik. Következésképpen, e rendelet vonatkozó kötelezettségeit teljesítettnek kell feltételezni, kivéve, ha az (EU) 2022/2065 rendelet hatálya alá nem tartozó, jelentős rendszerszintű kockázatok merülnek fel, és azokat az ilyen modellekben azonosítják. E kereten belül az online óriásplatformokat és nagyon népszerű online keresőprogramokat üzemeltető szolgáltatók kötelesek értékelni a szolgáltatásaik kialakításából, működéséből és használatából eredő potenciális rendszerszintű kockázatokat, beleértve azt is, hogy a szolgáltatás által használt algoritmikus rendszerek kialakítása hogyan járulhat hozzá az ilyen kockázatokhoz, valamint a potenciális rendellenes használatokból eredő rendszerszintű kockázatokhoz. Az említett szolgáltatók arra is kötelesek, hogy az alapvető jogokra figyelemmel, megfelelő kockázatenyhítési intézkedéseket hozzanak.
(119) Tekintettel a különböző uniós jogi eszközök hatálya alá tartozó digitális szolgáltatásokkal kapcsolatos innováció gyors ütemére és technológiai fejlődésére, különös tekintettel a szolgáltatás igénybe vevőinek használatára és megítélésére, az e rendelet hatálya alá tartozó MI-rendszerek az (EU) 2022/2065 rendelet értelmében vett közvetítő szolgáltatásként vagy annak részeiként is nyújthatók, amelyet technológiasemleges módon kell értelmezni. Például az MI-rendszerek felhasználhatók online keresőmotorok szolgáltatására, különösen amennyiben egy MI-rendszer, például egy online csevegőrobot elvben valamennyi weboldalon keresést végez, az eredményeket beépíti meglévő ismereteibe, és a frissített ismereteket arra használja fel, hogy egyetlen, különböző információforrásokat ötvöző kimenetet hozzon létre.
(120) Továbbá, az (EU) 2022/2065 rendelet hatékony végrehajtásának elősegítése érdekében különösen fontosak az e rendeletben az egyes MI-rendszerek szolgáltatóira és alkalmazóira rótt azon kötelezettségek, amelyek lehetővé teszik annak észlelését és közzétételét, hogy e rendszerek kimeneteit mesterségesen hozzák létre vagy manipulálják. Ez különösen alkalmazandó az online óriásplatformokat vagy nagyon népszerű online keresőprogramokat üzemeltető szolgáltatók azon kötelezettségeire, hogy azonosítsák és enyhítsék a mesterségesen létrehozott vagy manipulált tartalom terjesztéséből eredő rendszerszintű kockázatokat, különösen a demokratikus folyamatokra, a civil párbeszédre és a választási folyamatokra - többek között dezinformáció révén - gyakorolt tényleges vagy előrelátható negatív hatások kockázatát.
(121) A szabványosításnak kulcsszerepet kell játszania abban, hogy az e rendeletnek való megfelelés biztosítása érdekében megfelelő műszaki megoldások álljanak a szolgáltatók rendelkezésére, a technika mindenkori állásának megfelelően, az uniós piac versenyképességének és növekedésének előmozdítása érdekében. A szolgáltatóknak az 1025/2012/EU európai parlamenti és tanácsi rendelet* 2. cikke 1 pontjának c) alpontjában meghatározott - és alapelvárás szerint a technika mindenkori állását tükröző - harmonizált szabványoknak való megfelelés révén is tudniuk kell bizonyítani az e rendelet követelményeinek való megfelelést. Ezért az 1025/2012/EU rendelet 5. és 6. cikkével összhangban ösztönözni kell az érdekek kiegyensúlyozott képviseletét a szabványok kidolgozása terén valamennyi érintett érdekcsoport részvételével, különös tekintettel a kkv-kra, a fogyasztóvédelmi szervezetekre, valamint a környezetvédelmi és szociális érdekelt felekre. A megfelelés elősegítése érdekében a Bizottságnak indokolatlan késedelem nélkül ki kell adnia a szabványosítási kérelmeket. A szabványosítási kérelem elkészítésekor a Bizottságnak - a releváns szakértelem összegyűjtése érdekében - konzultálnia kell a tanácsadó fórummal és a Testülettel. Azonban a harmonizált szabványokra való releváns hivatkozások hiányában a Bizottság számára lehetővé kell tenni, hogy - végrehajtási jogi aktusok révén és a tanácsadó fórummal folytatott konzultációt követően - közös előírásokat állapítson meg az e rendelet szerinti egyes követelményekre vonatkozóan. A közös előírásnak kivételes tartalékmegoldásnak kell lennie, amely megkönnyíti a szolgáltató számára az e rendelet követelményeinek való megfelelésre vonatkozó kötelezettségének teljesítését, ha a szabványosítási kérelmet egyik európai szabványügyi szervezet sem fogadta el, vagy ha a releváns harmonizált szabványok nem kezelik megfelelően az alapvető jogokkal kapcsolatos aggályokat, vagy ha a harmonizált szabványok nem felelnek meg a kérelemnek, vagy ha egy megfelelő harmonizált szabvány elfogadása késedelmet szenved. Amennyiben egy harmonizált szabvány elfogadása terén az ilyen késedelem az említett szabvány műszaki összetettségének tudható be, a Bizottságnak ezt figyelembe kell vennie, mielőtt fontolóra venné közös előírások kidolgozását. A közös előírások kidolgozása során a Bizottság ösztönözve van arra, hogy működjön együtt a nemzetközi partnerekkel és a nemzetközi szabványügyi testületekkel.[21]
(122) Helyénvaló, hogy - a harmonizált szabványok és közös előírások alkalmazásának sérelme nélkül - azon nagy kockázatú MI-rendszerek szolgáltatóit, amelyeket olyan adatokon tanítottak és teszteltek, amelyek tükrözik azt a konkrét földrajzi, viselkedési, kontextuális vagy funkcionális környezetet, amelyben az MI-rendszert használni kívánják, úgy kell tekinteni, hogy megfelelnek az e rendeletben meghatározott adatkormányzási követelményben előírt releváns intézkedésnek. Az e rendeletben meghatározott, a megbízhatóságra és pontosságra vonatkozó követelmények sérelme nélkül, az (EU) 2019/881 rendelet 54. cikkének (3) bekezdésével összhangban azon nagy kockázatú MI-rendszerekről, amelyeket az említett rendelettel összhangban egy kiberbiztonsági rendszer keretében tanúsítottak, vagy amelyekre vonatkozóan megfelelőségi nyilatkozatot állítottak ki, és amelyek hivatkozásait közzétették az Európai Unió Hivatalos Lapjában, vélelmezni kell, hogy megfelelnek az e rendeletben foglalt kiberbiztonsági követelménynek, amennyiben a kiberbiztonsági tanúsítvány vagy megfelelőségi nyilatkozat vagy annak részei kiterjednek e rendelet kiberbiztonsági követelményeire. Ez továbbra sem érinti az említett kiberbiztonsági rendszer önkéntes jellegét.
(123) A nagy kockázatú MI-rendszerek magas szintű megbízhatóságának biztosítása érdekében ezeket a rendszereket forgalomba hozataluk vagy üzembe helyezésük előtt megfelelőségértékelésnek kell alávetni.
(124) A gazdasági szereplők terheinek minimalizálása és az esetleges párhuzamosságok elkerülése érdekében helyénvaló, hogy azon nagy kockázatú MI-rendszerek esetében, amelyek az új jogszabályi kereten alapuló meglévő uniós harmonizációs jogszabályok hatálya alá tartozó termékekhez kapcsolódnak, az említett MI-rendszerek e rendelet követelményeinek való megfelelése az említett jogszabályokban már előírt megfelelőségértékelés részeként kerüljön értékelésre. E rendelet követelményeinek alkalmazhatósága ezért nem érintheti a vonatkozó uniós harmonizációs jogszabályok szerinti megfelelőségértékelés konkrét logikáját, módszertanát vagy általános szerkezetét.
(125) Tekintettel a nagy kockázatú MI-rendszerek összetettségére és az azokkal kapcsolatos kockázatokra, fontos a nagy kockázatú MI-rendszerekre vonatkozó megfelelőségértékelési eljárás - az úgynevezett harmadik fél általi megfelelőségértékelés - kidolgozása a bejelentett szervezetek bevonásával. Azonban, tekintve a forgalomba hozatal előtti tanúsítást végző szakemberek által a termékbiztonság területén jelenleg fennálló tapasztalatot és a felmerülő kockázatok eltérő jellegét, helyénvaló - legalább e rendelet alkalmazásának kezdeti szakaszában - korlátozni a harmadik fél által végzett megfelelőségértékelés alkalmazási körét azon nagy kockázatú MI-rendszerek esetében, amelyek nem termékekhez kapcsolódnak. Ezért az ilyen rendszerek megfelelőségértékelését főszabályként a szolgáltatónak kell elvégeznie saját felelősségére, a biometriai célokra való felhasználásra szánt MI-rendszerek kivételével.
(126) A harmadik fél általi megfelelőségértékelések szükség szerinti elvégzése érdekében az illetékes nemzeti hatóságoknak e rendelet alapján értesíteniük kell a bejelentett szervezeteket, feltéve hogy azok megfelelnek bizonyos, különösen a függetlenségre, a szakértelemre, az összeférhetetlenség hiányára vonatkozó követelményeknek és megfelelő kiberbiztonsági követelményeknek. Az illetékes nemzeti hatóságoknak a 768/2008/EK határozat I. melléklete R23. cikkének megfelelően a Bizottság által kifejlesztett és kezelt elektronikus bejelentési eszköz útján kell bejelenteniük e szerveket a Bizottságnak és a többi tagállamnak.
(127) A Kereskedelmi Világszervezetnek a kereskedelem technikai akadályairól szóló megállapodása keretében vállalt uniós kötelezettségekkel összhangban helyénvaló elősegíteni az illetékes megfelelőségértékelő szervezetek által készített megfelelőségértékelési eredmények kölcsönös elismerését, függetlenül attól, hogy mely területen van a székhelyük, feltéve, hogy az említett, egy harmadik ország joga szerint létrehozott megfelelőségértékelő szervezetek megfelelnek e rendelet alkalmazandó követelményeinek, és az Unió e tekintetben megállapodást kötött. Ezzel összefüggésben a Bizottságnak aktívan fel kell térképeznie az említett célt szolgáló lehetséges nemzetközi eszközöket, és törekednie kell különösen arra, hogy harmadik országokkal kölcsönös elismerési megállapodásokat kössön.
(128) Az uniós harmonizációs jogszabályok által szabályozott termékek jelentős módosításának általánosan elfogadott fogalmával összhangban helyénvaló, hogy minden olyan változtatás esetében, amely befolyásolhatja egy nagy kockázatú MI-rendszer e rendeletnek való megfelelését (pl. az operációs rendszer vagy a szoftverarchitektúra megváltoztatása), vagy amikor a rendszer rendeltetése megváltozik, az adott MI-rendszert új MI-rendszernek kell tekinteni, amelyet új megfelelőségértékelésnek kell alávetni. Ugyanakkor az olyan MI-rendszerek algoritmusában és teljesítményében bekövetkező változások, amelyek a forgalomba hozatalt vagy üzembe helyezést követően továbbra is "tanulnak" (nevezetesen automatikusan kiigazítják a funkciók végrehajtásának módját), nem tekintendők jelentős módosításnak, feltéve, hogy az említett változásokat a szolgáltató előre meghatározta és a megfelelőségértékelés időpontjában értékelte.
(129) A nagy kockázatú MI-rendszereket CE-jelöléssel kell ellátni, amely jelzi az e rendeletnek való megfelelésüket, annak érdekében, hogy szabadon mozoghassanak a belső piacon. A termékbe ágyazott nagy kockázatú MI-rendszerek esetében fizikai CE-jelölést kell elhelyezni, amely kiegészíthető digitális CE-jelöléssel. A kizárólag digitálisan szolgáltatott nagy kockázatú MI-rendszerek esetében digitális CE-jelölést kell használni. A tagállamok nem akadályozhatják indokolatlanul az olyan nagy kockázatú MI-rendszerek forgalomba hozatalát vagy üzembe helyezését, amelyek megfelelnek az e rendeletben meghatározott követelményeknek és CE-jelöléssel vannak ellátva.
(130) Bizonyos körülmények között az innovatív technológiák gyors rendelkezésre állása döntő fontosságú lehet a személyek egészsége és biztonsága, a környezet védelme és az éghajlat-változás, valamint a társadalom egésze szempontjából. Ezért helyénvaló, hogy a közbiztonsághoz vagy a természetes személyek életének és egészségének védelméhez, a környezetvédelemhez, valamint a kulcsfontosságú ipari és infrastrukturális eszközök védelméhez kapcsolódó kivételes okokból a piacfelügyeleti hatóságok engedélyezhessék olyan MI-rendszerek forgalomba hozatalát vagy üzembe helyezését, amelyek megfelelőségértékelését nem folytatták le. Az e rendeletben előírt, kellően indokolt helyzetekben a bűnüldöző hatóságok vagy a polgári védelmi hatóságok üzembe helyezhetnek egy adott nagy kockázatú MI-rendszert a piacfelügyeleti hatóság engedélye nélkül is, feltéve, hogy a használat során vagy azt követően - indokolatlan késedelem nélkül - kérnek ilyen engedélyt.
(131) A Bizottság és a tagállamok által az MI területén végzett munka megkönnyítése, valamint a nyilvánosság számára biztosított átláthatóság növelése érdekében az olyan nagy kockázatú MI-rendszerek szolgáltatói számára, amelyek nem kapcsolódnak a releváns meglévő uniós harmonizációs jogszabályok hatálya alá tartozó termékekhez, valamint az olyan szolgáltatok számára, akik úgy vélik, hogy az e rendelet egyik mellékletében foglalt nagy kockázatú felhasználási esetek között felsorolt valamely MI-rendszer egy eltérés alapján nem nagy kockázatú, elő kell írni, hogy saját magukat és a nagy kockázatú MI-rendszerükre vonatkozó információkat regisztrálják egy uniós adatbázisban, amelyet a Bizottságnak kell létrehoznia és kezelnie. Az e rendelet egyik mellékletében foglalt nagy kockázatú felhasználási esetek között felsorolt valamely MI-rendszer használata előtt a nagy kockázatú MI-rendszerek azon alkalmazóinak, amelyek hatóságok, ügynökségek vagy közjogi szervek, regisztrálniuk kell magukat egy ilyen adatbázisban, és ki kell választaniuk az általuk használni kívánt rendszert. A többi alkalmazó számára biztosítani kell a jogot, hogy ezt önkéntes alapon tegye meg. Az uniós adatbázis ezen részének nyilvánosan hozzáférhetőnek és ingyenesnek, az információnak pedig könnyen böngészhetőnek, érthetőnek és géppel olvashatónak kell lennie. Az uniós adatbázisnak felhasználóbarátnak is kell lennie, például keresőfunkciók - többek között kulcsszavak révén történő - biztosításával, amelyek lehetővé teszik a nyilvánosság számára, hogy megtalálja a nagy kockázatú MI-rendszerek regisztrációjakor benyújtandó és a nagy kockázatú MI-rendszerek e rendelet egyik mellékletében meghatározott azon felhasználási esetére vonatkozó releváns információkat, amelynek a nagy kockázatú MI-rendszerek megfelelnek. A nagy kockázatú MI-rendszerek bármely jelentős módosítását rögzíteni kell az uniós adatbázisban is. A bűnüldözés, a migráció, a menekültügy és a határellenőrzés igazgatása területén működő nagy kockázatú MI-rendszerek esetében a regisztrációs kötelezettségeket az uniós adatbázis biztonságos, nem nyilvános részében kell teljesíteni. A biztonságos, nem nyilvános részhez való hozzáférést szigorúan a Bizottságra, valamint - az adatbázis megfelelő nemzeti része tekintetében - a piacfelügyeleti hatóságokra kell korlátozni. A kritikus infrastruktúrák területén működő a nagy kockázatú MI-rendszereket csak nemzeti szinten kell nyilvántartásba venni. Az (EU) 2018/1725 rendelettel összhangban a Bizottságnak kell az uniós adatbázis adatkezelőjének lennie. Az uniós adatbázis teljes körű működőképességének biztosítása érdekében a bevezetéskor az adatbázis beállítására irányuló eljárásnak magában kell foglalnia a működési előírások Bizottság általi kidolgozását és egy független ellenőrzési jelentést. A Bizottságnak az uniós adatbázis adatkezelői feladatainak ellátása során figyelembe kell vennie a kiberbiztonsági kockázatokat. Az uniós adatbázis nyilvánosság általi hozzáférhetőségének és használatának maximalizálása érdekében az uniós adatbázisnak - ideértve az annak révén rendelkezésre bocsátott információkat is - meg kell felelnie az (EU) 2019/882 irányelv követelményeinek.
(132) Bizonyos MI-rendszerek, amelyek rendeltetése a természetes személyekkel való interakció vagy tartalom létrehozása, különleges kockázatot jelenthetnek a hasonmássággal való visszaélés vagy a megtévesztés szempontjából, függetlenül attól, hogy nagy kockázatúnak minősülnek-e vagy sem. Bizonyos körülmények között e rendszerek használatára ezért egyedi átláthatósági kötelezettségeket kell alkalmazni, a nagy kockázatú MI-rendszerekre vonatkozó követelmények és kötelezettségek sérelme nélkül, valamint a bűnüldözés különleges igényei okán hozott célzott kivételek szem előtt tartása mellett. Így különösen, a természetes személyeket értesíteni kell arról, hogy MI-rendszerrel állnak interakcióban, kivéve, ha ez - figyelembe véve a körülményeket és a felhasználási kontextust - egy észszerűen elvárható szinten jól tájékozott, figyelmes és körültekintő természetes személy szemszögéből nyilvánvaló. Az említett kötelezettség végrehajtásakor figyelembe kell venni az életkoruk vagy fogyatékosságuk okán kiszolgáltatott csoportokba tartozó személyek jellemzőit annyiban, amennyiben az MI-rendszer rendeltetésébe beletartozik, hogy az említett csoportokkal is interakciót folytasson. Ezenkívül, a természetes személyeket értesíteni kell, amikor olyan MI-rendszereknek vannak kitéve, amelyek biometrikus adataik feldolgozásával azonosíthatják vagy kikövetkeztethetik az említett személyek érzelmeit vagy szándékait, vagy konkrét kategóriákba sorolhatják őket. Az ilyen konkrét kategóriák vonatkozhatnak olyan szempontokra, mint például a nem, az életkor, a hajszín, a szemszín, a tetoválások, a személyes vonások, az etnikai származás, a személyes preferenciák és az érdeklődési kör. Az ilyen információkat és értesítéseket a fogyatékossággal élő személyek számára akadálymentes formátumban kell megadni.
(133) A különböző MI-rendszerek nagy mennyiségű szintetikus tartalmat tudnak előállítani, amelyet illetően egyre nehezebbé válik az emberek számára, hogy megkülönböztessék az ember által előállított és autentikus tartalomtól. E rendszerek széles körű rendelkezésre állása és növekvő képességei jelentős hatással vannak az információs ökoszisztéma integritására és az abba vetett bizalomra, új kockázatokat teremtve a nagyléptékű félretájékoztatás és a manipuláció, a csalás, a személyazonossággal való visszaélés és a fogyasztók megtévesztése tekintetében. Az említett hatások, a technológiai haladás gyors üteme és az információk eredetének nyomon követésére szolgáló új módszerek és technikák iránti igény fényében helyénvaló előírni az említett rendszerek szolgáltatói számára, hogy olyan műszaki megoldásokat építsenek be, amelyek lehetővé teszik a géppel olvasható formátumban történő jelölést és annak észlelését, hogy a kimenetet nem ember, hanem MI-rendszer hozta létre vagy manipulálta. Az ilyen technikáknak és módszereknek kellően megbízhatónak, interoperábilisnak, hatékonynak és megbízhatónak kell lenniük, amilyen mértékben ez műszakilag megvalósítható, figyelembe véve az elérhető technikákat vagy az ilyen technikák kombinációját - például vízjeleket, metaadat-azonosításokat, a tartalom eredetének és hitelességének bizonyítására szolgáló kriptográfiai módszereket, naplózási módszereket, ujjnyomatokat vagy adott esetben egyéb technikákat. E kötelezettség végrehajtása során a szolgáltatóknak figyelembe kell venniük a különböző tartalomtípusok sajátosságait és korlátait, valamint a terület releváns technológiai és piaci fejleményeit is, amint azt a technológia általánosan elfogadott, mindenkori állása is tükrözi. Ilyen technikák és módszerek végrehajthatók az MI-rendszer vagy az MI-modell szintjén - ideértve a tartalmat előállító általános célú MI-modelleket is -, ezáltal megkönnyítve e kötelezettségnek az MI-rendszer downstream szolgáltatója általi teljesítését. Az arányosság megőrzése érdekében helyénvaló úgy rendelkezni, hogy ez a jelölési kötelezettség ne terjedjen ki azokra az MI-rendszerekre, amelyek elsősorban a standard szerkesztést segítő funkciót látnak el, vagy olyan MI-rendszerekre, amelyek nem módosítják lényegesen az alkalmazó által szolgáltatott bemeneti adatokat vagy azok szemantikáját.
(134) Az MI-rendszer szolgáltatói által alkalmazott műszaki megoldásokat illetően azon alkalmazóknak, akik MI-rendszert használnak olyan kép-, audio- vagy videotartalom létrehozására vagy manipulálására, amely érzékelhetően hasonlít meglévő személyekre, tárgyakra, helyekre, entitásokra vagy eseményekre, és egy személy számára megtévesztő módon autentikusnak vagy valóságosnak tűnhet (deepfake), egyértelműen és megkülönböztethetően fel kell tüntetniük, hogy a tartalmat mesterségesen hozták létre vagy manipulálták az MI-kimenet megfelelő címkézésével és mesterséges eredetének közzétételével. Ezen átláthatósági kötelezettségnek való megfelelés nem értelmezhető úgy, hogy az azt jelzi, hogy az MI-rendszer vagy annak kimenete akadályozza a véleménynyilvánítás szabadságához való jogot, valamint a művészet és a tudomány szabadságához való, a Chartában garantált jogot, különösen, ha a tartalom egy nyilvánvalóan kreatív, szatirikus, művészeti, fiktív vagy hasonló munka vagy program részét képezi, a harmadik felek jogaira és szabadságaira vonatkozó megfelelő biztosítékok mellett. Az említett esetekben az e rendeletben meghatározott, a deepfake tartalmakra vonatkozó átláthatósági kötelezettség az ilyen, előállított vagy manipulált tartalom olyan megfelelő módon történő felfedésére korlátozódik, amely nem akadályozza a mű megjelenítését vagy élvezetét, beleértve annak rendes kiaknázását és használatát, a mű hasznosságának és minőségének fenntartása mellett. Emellett helyénvaló hasonló felfedési kötelezettséget előirányozni az MI által előállított vagy manipulált szöveg tekintetében is, amennyiben azt a nyilvánosság közérdekű ügyekről való tájékoztatása céljából teszik közzé, kivéve, ha az MI által létrehozott tartalom emberi felülvizsgálaton vagy szerkesztői ellenőrzésen esett át, és a szerkesztői felelősséget egy természetes vagy jogi személy viseli a tartalom közzétételéért.
(135) Az átláthatósági kötelezettségek kötelező jellegének és teljes körű alkalmazandóságának sérelme nélkül a Bizottság ösztönözheti és megkönnyítheti olyan uniós szintű gyakorlati kódexek kidolgozását is, amelyek megkönnyítik a mesterségesen előállított vagy manipulált tartalom észlelésére és címkézésére vonatkozó kötelezettségek hatékony végrehajtását, beleértve adott esetben az észlelési mechanizmusok hozzáférhetővé tételére és az értéklánc más szereplőivel való együttműködés elősegítésére, a tartalom terjesztésére vagy hitelességének és eredetének ellenőrzésére irányuló gyakorlati intézkedések támogatását is annak érdekében, hogy a nyilvánosság képessé váljon a mesterséges intelligencián alapuló tartalmak hatékony megkülönböztetésére.
(136) Az (EU) 2022/2065 rendelet hatékony végrehajtásának elősegítése érdekében különösen fontosak az e rendeletben az egyes MI-rendszerek szolgáltatóira és alkalmazóira rótt azon kötelezettségek, amelyek lehetővé teszik annak észlelését és közzétételét, hogy e rendszerek kimeneteit mesterségesen hozzák létre vagy manipulálják. Ez különösen igaz az online óriásplatformokat vagy nagyon népszerű online keresőprogramokat üzemeltető szolgáltatók azon kötelezettségeire, hogy azonosítsák és enyhítsék a mesterségesen előállított vagy manipulált tartalom terjesztéséből eredő rendszerszintű kockázatokat, különösen a demokratikus folyamatokra, a civil párbeszédre és a választási folyamatokra - többek között dezinformáció révén - gyakorolt tényleges vagy előrelátható negatív hatások kockázatát. Az MI-rendszerek által előállított tartalmak címkézésére vonatkozó, e rendelet szerinti követelmény nem érinti az (EU) 2022/2065 rendelet 16. cikkének (6) bekezdésében foglalt azon kötelezettséget, hogy a tárhelyszolgáltatók feldolgozzák az említett rendelet 16. cikkének (1) bekezdése alapján kapott, jogellenes tartalomra vonatkozó bejelentéseket, és nem befolyásolhatja az adott tartalom jogellenességére vonatkozó értékelést és döntést. Ezt az értékelést kizárólag a tartalom jogszerűségére vonatkozó szabályokra tekintettel kell elvégezni.
(137) Az e rendelet hatálya alá tartozó MI-rendszerekre vonatkozó átláthatósági kötelezettségeknek való megfelelés nem értelmezhető úgy, mint amely azt jelzi, hogy az MI-rendszer használata vagy annak kimenete e rendelet vagy más uniós és tagállami jogszabályok alapján jogszerű, és nem sértheti az MI-rendszerek alkalmazóira vonatkozóan az uniós vagy nemzeti jogban meghatározott egyéb átláthatósági kötelezettségeket.
(138) Az MI gyorsan fejlődő technológiacsalád, amelynek tekintetében szabályozási felügyeletre és biztonságos és ellenőrzött kísérleti térre van szükség, a felelősségteljes innovációnak, valamint a megfelelő biztosítékok és kockázatenyhítő intézkedések integrálásának egyidejű biztosítása mellett. Az innovációt előmozdító, időtálló és a zavarokkal szemben reziliens jogi keret biztosítása érdekében a tagállamoknak biztosítaniuk kell, hogy illetékes nemzeti hatóságaik létrehoznak legalább egy MI szabályozói tesztkörnyezetet nemzeti szinten annak érdekében, hogy megkönnyítsék az innovatív MI-rendszerek szigorú szabályozási felügyelet melletti fejlesztését és tesztelését e rendszerek forgalomba hozatala vagy más módon történő üzembe helyezése előtt. A tagállamok ezt a kötelezettséget teljesíthetnék úgy is, hogy részt vesznek már meglévő szabályozói tesztkörnyezetekben, vagy hogy egy vagy több tagállam illetékes hatóságával közösen hoznak létre tesztkörnyezet, amennyiben ez a részvétel egyenértékű nemzeti lefedettséget biztosít a részt vevő tagállamok számára. Az MI szabályozói tesztkörnyezeteket fizikai, digitális vagy hibrid formában is létre lehetne hozni, és azok fogadhatnak fizikai és digitális termékeket egyaránt. A létrehozó hatóságoknak azt is biztosítaniuk kell, hogy az MI szabályozói tesztkörnyezetek rendelkezzenek a működésükhöz szükséges megfelelő erőforrásokkal, ideértve a pénzügyi és humán erőforrásokat is.
(139) Az MI szabályozói tesztkörnyezeteknek az MI-vel kapcsolatos innováció előmozdítását kell célozniuk azáltal, hogy a fejlesztési és a forgalomba hozatalt megelőző szakaszban egy ellenőrzött kísérleti és tesztelési környezetet hoznak létre annak biztosítása érdekében, hogy az innovatív MI-rendszerek megfeleljenek e rendeletnek és más releváns uniós és tagállami jogszabályoknak. Ezen felül az MI szabályozói tesztkörnyezeteknek törekedniük kell arra, hogy fokozzák a jogbiztonságot az innovátorok számára, valamint az MI-használatban rejlő lehetőségek, újonnan felmerülő kockázatok és hatások illetékes hatóságok általi felügyeletét és megértését, megkönnyítsék a szabályozói tanulást a hatóságok és a vállalkozások számára, többek között a jogi keret jövőbeli kiigazítása céljából, támogassák az MI szabályozói tesztkörnyezetben részt vevő hatóságokkal való együttműködést és a legjobb gyakorlatok megosztását, valamint felgyorsítsák a piacra jutást, többek között a kkv-k, köztük az induló innovatív vállalkozások előtt álló akadályok felszámolása révén. Az MI szabályozói tesztkörnyezeteknek Unió-szerte széles körben elérhetőnek kell lenniük, és különös figyelmet kell fordítani arra, hogy azokhoz a kkv-k, köztük az induló innovatív vállalkozások is hozzáférjenek. Az MI szabályozói tesztkörnyezetben való részvételnek olyan kérdésekre kell összpontosítania, amelyek jogbizonytalanságot vetnek fel a szolgáltatók és a leendő szolgáltatók körében, az Unión belüli innováció, a mesterséges intelligenciával való kísérletezés és a szabályozó hatóságok általi, tényeken alapuló tanuláshoz való hozzájárulás érdekében. Az MI szabályozói tesztkörnyezetben az MI-rendszerek felügyeletének ezért ki kell terjednie a rendszerek forgalomba hozatala vagy üzembe helyezése előtti fejlesztésére, betanítására, tesztelésére és validálására, valamint az olyan jelentős módosítás fogalmára és bekövetkezésére, amely új megfelelőségértékelési eljárást tehet szükségessé. Amennyiben az ilyen MI-rendszerek fejlesztése és tesztelése során jelentős kockázatok merülnek fel, azokat megfelelő módon csökkenteni kell, illetve ennek sikertelensége esetén a fejlesztési és tesztelési folyamatot fel kell függeszteni. Az MI szabályozói tesztkörnyezeteket létrehozó illetékes nemzeti hatóságoknak adott esetben célszerű együttműködniük más érintett hatóságokkal, többek között az alapvető jogok védelmét felügyelő hatóságokkal, és lehetővé tehetik az MI-ökoszisztémán belüli más szereplők, így például a nemzeti vagy európai szabványügyi szervezetek, a bejelentett szervezetek, a tesztelési és kísérleti létesítmények, a kutató- és kísérleti laboratóriumok, az európai digitális innovációs központok, valamint az érdekelt felek és a civil társadalmi szervezetek bevonását. Az Unió-szerte egységes végrehajtás és a méretgazdaságosság biztosítása érdekében helyénvaló közös szabályokat megállapítani az MI szabályozói tesztkörnyezetek végrehajtására vonatkozóan, valamint meghatározni a tesztkörnyezetek felügyeletében részt vevő érintett hatóságok közötti együttműködés keretét. Az e rendelet alapján létrehozott MI szabályozói tesztkörnyezetek nem sérthetik az egyéb olyan jogszabályokat, amelyek lehetővé teszik az e rendelettől eltérő jogszabályoknak való megfelelés biztosítását célzó egyéb tesztkörnyezetek létrehozását. Az említett egyéb szabályozói tesztkörnyezetekért felelős releváns illetékes hatóságoknak adott esetben célszerű mérlegelniük annak előnyeit, ha az említett tesztkörnyezeteket az MI-rendszerek e rendeletnek való megfelelése biztosításának céljára is igénybe veszik. Az illetékes nemzeti hatóságok és az MI szabályozói tesztkörnyezet résztvevői közötti megállapodás esetén valós körülmények közötti tesztelés is végezhető és felügyelhető az MI szabályozói tesztkörnyezet keretrendszerében.
(140) E rendeletnek jogalapot kell biztosítania az MI szabályozói tesztkörnyezetben a szolgáltatók és a leendő szolgáltatók számára ahhoz, hogy felhasználják az eltérő célból gyűjtött személyes adatokat bizonyos közérdekű MI-rendszereknek az MI szabályozói tesztkörnyezetben történő fejlesztése céljából, kizárólag meghatározott feltételek mellett, összhangban az (EU) 2016/679 rendelet 6. cikkének (4) bekezdésével és 9. cikke (2) bekezdésének g) pontjával, valamint az (EU) 2018/1725 rendelet 5., 6. és 10. cikkével összhangban, továbbá az (EU) 2016/680 irányelv 4. cikke (2) bekezdésének és 10. cikkének sérelme nélkül. Az adatkezelők minden egyéb kötelezettsége és az érintettek jogai továbbra is alkalmazandók az (EU) 2016/679 és az (EU) 2018/1725 rendelet, valamint az (EU) 2016/680 irányelv alapján. Így különösen, e rendelet nem biztosíthat jogalapot az (EU) 2016/679 rendelet 22. cikke (2) bekezdésének b) pontja és az (EU) 2018/1725 rendelet 24. cikke (2) bekezdésének b) pontja értelmében. Az MI szabályozói tesztkörnyezetben a szolgáltatóknak és a leendő szolgáltatóknak megfelelő biztosítékokat kell garantálniuk, és együtt kell működniük az illetékes hatóságokkal, többek között azáltal, hogy követik iránymutatásukat, valamint gyorsan és jóhiszeműen járnak el annak érdekében, hogy megfelelően enyhítsék a biztonságot, az egészséget és az alapvető jogokat fenyegető beazonosított, az említett tesztkörnyezetben történő fejlesztés, tesztelés és kísérletezés során esetlegesen felmerülő jelentős kockázatokat.
(141) Az e rendelet egyik mellékletben felsorolt nagy kockázatú MI-rendszerek fejlesztési és forgalombahozatali folyamatának felgyorsítása érdekében fontos, hogy az ilyen rendszerek szolgáltatói vagy leendő szolgáltatói szintén részt vehessenek egy olyan rendszerben, amely az említett MI-rendszerek valós körülmények közötti tesztelésére szolgál, anélkül, hogy részt vennének egy MI szabályozói tesztkörnyezetben. Ilyen esetekben azonban - figyelembe véve az ilyen tesztelés egyénekre gyakorolt lehetséges következményeit - biztosítani kell, hogy e rendelet megfelelő és elégséges garanciákat és feltételeket vezessen be a szolgáltatókra vagy leendő szolgáltatókra vonatkozóan. Ilyen garanciák közé kell, hogy tartozzon többek között a természetes személyek tájékoztatáson alapuló hozzájárulásának előírása a valós körülmények közötti tesztelésben való részvételhez, kivéve a bűnüldözést, amennyiben a tájékoztatáson alapuló hozzájárulás megkérése megakadályozná az MI-rendszer tesztelését. A vizsgálati alanyoknak az ilyen tesztelésben e rendelet alapján történő részvételhez való hozzájárulása különbözik az érintettek ahhoz való hozzájárulásától, hogy személyes adataikat a releváns adatvédelmi jogszabályok alapján kezeljék, és nem sérti azt. Fontosak továbbá a következők: minimalizálni a kockázatokat és lehetővé tenni az illetékes hatóságok általi felügyeletet, és ezért előírni a leendő szolgáltatók számára, hogy a valós körülmények közötti tesztelésre vonatkozó tervet nyújtsanak be az illetékes piacfelügyeleti hatósághoz, regisztrálni a tesztelést - néhány kivételtől eltekintve - az uniós adatbázis erre szolgáló szakaszaiban, korlátozni a tesztelés elvégzésére alkalmas időszakot, és további biztosítékokat előírni a bizonyos kiszolgáltatott csoportokhoz tartozó személyek érdekében, valamint írásbeli megállapodást kötni, amely meghatározza a leendő szolgáltatók és alkalmazók szerepét és felelősségét, és a valós körülmények közötti tesztelésben részt vevő hozzáértő személyzet általi hatékony felügyeletet biztosítani. Továbbá, helyénvaló további biztosítékokat előirányozni annak biztosítása érdekében, hogy az MI-rendszer előrejelzéseit, ajánlásait vagy döntéseit ténylegesen vissza lehessen fordítani és figyelmen kívül lehessen hagyni, valamint hogy a személyes adatok védelem alatt álljanak, és törlésre kerüljenek, ha a vizsgálati alanyok visszavonták a tesztelésben való részvételhez adott hozzájárulásukat, az uniós adatvédelmi jog értelmében érintettségükből adódó jogaik sérelme nélkül. Az adatok továbbítását illetően helyénvaló annak előírása is, hogy a valós körülmények közötti tesztelés céljára gyűjtött és feldolgozott adatokat csak akkor kerüljenek továbbításra harmadik országok számára, ha az uniós jog szerint megfelelő és alkalmazandó biztosítékokat hajtanak végre - különösen a személyes adatoknak az uniós adatvédelmi jog szerinti továbbítására vonatkozó jogalapokkal összhangban -, míg a nem személyes adatok tekintetében az uniós joggal - így például az (EU) 2022/868* és az (EU) 2023/2854** európai parlamenti és tanácsi rendelettel - összhangban megfelelő biztosítékok kerülnek bevezetésre.[22]
(142) Annak biztosítására, hogy az MI társadalmi és környezeti szempontból kedvező eredményekhez vezessen, a tagállamok ösztönözve vannak arra, hogy támogassák és mozdítsák elő a társadalmi és környezeti szempontból kedvező eredményeket hozó MI-megoldásokkal - így például a fogyatékossággal élő személyek általi hozzáférhetőség javítását, a társadalmi-gazdasági egyenlőtlenségek kezelését, valamint a környezetvédelmi célok elérését célzó MI-alapú megoldásokkal - kapcsolatos kutatás-fejlesztést, azáltal, hogy elegendő forrást - ideértve az állami és uniós finanszírozást is - allokálnak, valamint - adott esetben és feltéve, hogy a jogosultsági és kiválasztási feltételek teljesülnek - különös figyelmet fordítanak az ilyen célokat előmozdító projektekre. Az ilyen projekteknek az MI-fejlesztők, az egyenlőtlenséggel és a megkülönböztetésmentességgel, az akadálymentességgel, a fogyasztói, környezeti és digitális jogokkal foglalkozó szakértők, valamint a tudományos körök közötti interdiszciplináris együttműködés elvén kell alapulniuk.
(143) Az innováció előmozdítása és védelme érdekében különösen figyelembe kell venni a kkv-knak - köztük az induló innovatív vállalkozásoknak - mint az MI-rendszerek szolgáltatóinak, illetve alkalmazóinak az érdekeit. E célból a tagállamoknak az említett gazdasági szereplőket célzó, többek között a figyelemfelkeltéssel és a tájékoztatással kapcsolatos kezdeményezéseket kell kidolgozniuk. A tagállamoknak az Unióban bejegyzett székhellyel vagy fiókteleppel rendelkező kkv-k, köztük az induló innovatív vállalkozások számára elsőbbségi hozzáférést kell biztosítaniuk az MI-szabályozói tesztkörnyezetekhez, feltéve, hogy a vállalkozások teljesítik a jogosultsági feltételeket és a kiválasztási szempontokat, és nem zárva ki, hogy ugyanezen feltételek és szempontok teljesítése esetén más szolgáltatók és leendő szolgáltatók is hozzáférjenek a szabályozói tesztkörnyezetekhez. A tagállamoknak ki kell használniuk a meglévő csatornákat, és adott esetben új, célzott csatornákat kell létrehozniuk a kkv-kkal - ideértve az induló innovatív vállalkozásokat is -, az alkalmazókkal, egyéb innovátorokkal és adott esetben a helyi közigazgatási szervekkel folytatott kommunikáció céljára, hogy iránymutatást nyújtsanak részükre, és megválaszolják az e rendelet végrehajtásával kapcsolatos kérdéseket. Adott esetben e csatornáknak együtt kell működniük a szinergiák kialakítása és a kkv-k - köztük az induló innovatív vállalkozások - és az alkalmazók számára nyújtott iránymutatások egységessége érdekében. Emellett a tagállamoknak meg kell könnyíteniük a kkv-k és egyéb érintett érdekelt felek részvételét a szabványalkotási folyamatokban. Ezenkívül figyelembe kell venni a kkv-k - köztük az induló innovatív vállalkozások - mint szolgáltatók sajátos érdekeit és igényeit, amikor bejelentett szervezetek állapítanak meg megfelelőségértékelési díjakat. A Bizottságnak rendszeresen értékelnie kell a kkv-k - köztük az induló innovatív vállalkozások - tanúsítási és megfelelési költségeit az alkalmazókkal folytatott átlátható konzultációk révén, és együtt kell működnie a tagállamokkal az ilyen költségek csökkentése érdekében. A kötelező dokumentációhoz és a hatóságokkal folytatott kommunikációhoz kapcsolódó fordítási költségek például jelentős mértékűek lehetnek a szolgáltatók és más gazdasági szereplők, különösen a kisebb szolgáltatók és gazdasági szereplők számára. A tagállamoknak lehetőség szerint biztosítaniuk kell, hogy az érintett szolgáltatók dokumentációja és a gazdasági szereplőkkel folytatott kommunikáció tekintetében általuk meghatározott és elfogadott nyelvek egyike olyan nyelv legyen, amelyet a lehető legtöbb, határon átnyúló tevékenységet folytató alkalmazó széles körben ért. A kkv-k - köztük az induló innovatív vállalkozások - sajátos igényeinek kezelése érdekében a Bizottságnak a Testület kérésére szabványosított mintákat kell rendelkezésre bocsátania az e rendelet hatálya alá tartozó területekre vonatkozóan. Ezenfelül a Bizottságnak a tagállami erőfeszítéseket a következők révén kell kiegészítenie: egy olyan egységes információs platform biztosítása, amely e rendelettel kapcsolatban könnyen használható információkat nyújt valamennyi szolgáltató és alkalmazó számára; megfelelő kommunikációs kampányok szervezése az e rendeletből eredő kötelezettségekkel kapcsolatos figyelemfelkeltés érdekében; valamint az MI-rendszerekre vonatkozó közbeszerzési eljárások terén a legjobb gyakorlatok közelítésének értékelése és előmozdítása. Azon középvállalkozásoknak, amelyek a 2003/361/EK bizottsági ajánlás* melléklete értelmében a közelmúltig kisvállalkozásnak minősültek, hozzá kell férniük az említett intézkedésekhez, mivel az említett új középvállalkozások lehet, hogy néha nem rendelkeznek az e rendelet megfelelő megértéséhez és betartásához szükséges jogi erőforrásokkal és képzéssel.[23]
(144) Az innováció előmozdítása és védelme érdekében az igényalapú MI-platformnak, valamint a Bizottság és a tagállamok által uniós vagy nemzeti szinten végrehajtott valamennyi vonatkozó uniós finanszírozási programnak és projektnek, így például a Digitális Európa programnak és a Horizont Európa keretprogramnak adott esetben hozzá kell járulnia e rendelet célkitűzéseinek eléréséhez.
(145) A piaci ismeretek és szakértelem hiányából eredő végrehajtási kockázatok minimalizálása, valamint annak elősegítése érdekében, hogy a szolgáltatók - különösen a kkv-k, köztük az induló innovatív vállalkozások - és a bejelentett szervezetek teljesítsék az e rendelet szerinti kötelezettségeiket, az igényalapú MI-platformnak, az európai digitális innovációs központoknak, valamint a Bizottság és a tagállamok által uniós vagy nemzeti szinten létrehozott tesztelési és kísérleti létesítményeknek hozzá kell járulniuk e rendelet végrehajtásához. Megbízatásuk és hatáskörük keretein belül az igényalapú MI-platform, az európai digitális innovációs központok, valamint a tesztelési és kísérleti létesítmények különösen technikai és tudományos támogatást nyújthatnak a szolgáltatóknak és a bejelentett szervezeteknek.
(146) Ezenfelül néhány gazdasági szereplő rendkívül kis mérete miatt, valamint az innováció költségeit illető arányosság biztosítása érdekében helyénvaló a mikrovállalkozások számára lehetővé tenni, hogy a legköltségesebb kötelezettségek egyikét - nevezetesen a minőségirányítási rendszer létrehozását - egyszerűsített formában teljesítsék, ami csökkentené az említett vállalkozások adminisztratív terheit és költségeit, anélkül, hogy befolyásolná a védelem szintjét és a nagy kockázatú MI-rendszerekre vonatkozó követelményeknek való megfelelés szükségességét. A Bizottságnak útmutatásokat kell kidolgoznia arra vonatkozóan, hogy a mikrovállalkozások számára a minőségirányítási rendszer mely elemei teljesítendők az említett egyszerűsített formában.
(147) Helyénvaló, hogy a Bizottság a lehető legnagyobb mértékben megkönnyítse a tesztelési és kísérleti létesítményekhez való hozzáférést a vonatkozó uniós harmonizációs jogszabályok bármelyike alapján létrehozott vagy akkreditált olyan szervek, csoportok vagy laboratóriumok számára, amelyek az említett uniós harmonizációs jogszabályok hatálya alá tartozó termékek vagy eszközök megfelelőségértékelésével kapcsolatos feladatokat látnak el. Ez különösen igaz az orvostechnikai eszközök területén működő, az (EU) 2017/745 és az (EU) 2017/746 rendelet szerinti szakértői testületekre, szakértői laboratóriumokra és referencialaboratóriumokra.
(148) E rendeletnek olyan irányítási keretet kell létrehoznia, amely lehetővé teszi mind e rendelet alkalmazásának nemzeti szintű koordinálását és támogatását, mind az uniós szintű kapacitásépítést és az AI területén érdekelt felek bevonását. E rendelet hatékony végrehajtásához és érvényesítéséhez olyan irányítási keretre van szükség, amely uniós szinten teszi lehetővé a koordinálást és a központosított szaktudás kiépítését. Az MI-hivatalt bizottsági határozat* hozta létre, és a küldetése az, hogy az MI területén fejlessze az uniós szakértelmet és kapacitásokat, valamint hogy hozzájáruljon az MI-re vonatkozó uniós jog végrehajtásához. A tagállamoknak segíteniük kell az MI-hivatalt feladatainak végzésében, hogy ezáltal támogassák az uniós szakértelem fejlesztését és az uniós szintű kapacitásépítést, valamint megerősítsék a digitális egységes piac működését. Továbbá, létre kell hozni a tagállamok képviselőiből álló Testületet: egy olyan tudományos testületet, amely összefogja a tudományos közösséget és egy tanácsadó fórumot annak érdekében, hogy e rendelet végrehajtásához az érdekelt felek észrevételei is hozzájáruljanak - uniós és nemzeti szinten. Az uniós szakértelem és kapacitás fejlesztése keretében fel kell használni a meglévő forrásokat és szakértelmet is, különösen az egyéb jogszabályok uniós szintű érvényesítésének összefüggésében kiépített struktúrákkal való szinergiák, valamint a kapcsolódó uniós szintű kezdeményezésekkel - így például az EuroHPC közös vállalkozással és a Digitális Európa program keretében működő MI-tesztelési és kísérleti létesítményekkel - való szinergiák révén.[24]
(149) E rendelet zökkenőmentes, hatékony és összehangolt végrehajtásának elősegítése érdekében létre kell hozni a Testületet. A Testületnek tükröznie kell az MI-ökoszisztémán belüli különböző érdekeket, és a tagállamok képviselőiből kell állnia. A Testület felelősségi körébe kell utalni számos tanácsadói feladatot, többek között vélemények, ajánlások kiadását, tanácsadást, vagy az e rendelet végrehajtásával kapcsolatos kérdésekkel kapcsolatos iránymutatásokhoz való hozzájárulást, például a rendelet érvényesítésével, az e rendeletben megállapított követelményekre vonatkozó műszaki előírásokkal vagy meglévő szabványokkal kapcsolatban, valamint a Bizottságnak, a tagállamoknak és az illetékes nemzeti hatóságoknak az MI-vel kapcsolatos konkrét kérdésekben nyújtott tanácsadást. Annak érdekében, hogy a tagállamok némi rugalmasságot élvezzenek a Testületben részt vevő képviselőik kijelölését illetően, bármely olyan, közigazgatási szervhez tartozó személy lehet ilyen képviselő, aki rendelkezik a releváns hatáskörökkel és jogkörökkel ahhoz, hogy elősegítse a nemzeti szintű koordinációt, és hozzájáruljon a Testület feladatainak teljesítéséhez. A Testületen belül létre kell hozni két állandó alcsoportot, amelyek platformot biztosítanak a piacfelügyeleti hatóságok és a bejelentő hatóságok közötti együttműködéshez és eszmecseréhez a piacfelügyelettel, illetve a bejelentett szervezetekkel kapcsolatos kérdésekben. A piacfelügyelettel foglalkozó állandó alcsoportnak e rendelet tekintetében az (EU) 2019/1020 rendelet 30. cikke értelmében vett igazgatási együttműködési csoportként kell eljárnia. A Bizottságnak az említett rendelet 33. cikkével összhangban piacelemzések vagy tanulmányok készítése révén támogatnia kell a piacfelügyelettel foglalkozó állandó alcsoport tevékenységeit, különösen e rendelet azon aspektusainak azonosítása céljából, amelyek a piacfelügyeleti hatóságok közötti konkrét és sürgős koordinációt igényelnek. A Testület adott esetben, konkrét kérdések megvizsgálása céljából újabb állandó vagy ideiglenes alcsoportokat hozhat létre. A Testületnek adott esetben együtt kell működnie a releváns uniós joggal összefüggésben tevékenykedő releváns uniós szervekkel, szakértői csoportokkal és hálózatokkal is, különösen azokkal, amelyek az adatokra, valamint a digitális termékekre és szolgáltatásokra vonatkozó releváns uniós jog alapján tevékenykednek.
(150) Az érintett érdekelt felek e rendelet végrehajtásába és alkalmazásába történő bevonásának biztosítása érdekében tanácsadó fórumot kell létrehozni, amelynek feladata a Testület és a Bizottság tanácsadással és műszaki szakismeretekkel való támogatása. Az érdekelt felek széles körű és a kiegyensúlyozott képviseletének biztosítása érdekében - a kereskedelmi és nem kereskedelmi érdekek, valamint a kereskedelmi érdekek kategóriáján belül a kkv-k és más vállalkozások tekintetében - a tanácsadó fórumnak fel kell ölelnie többek között az ipart, az induló innovatív vállalkozásokat, a kkv-kat, a tudományos köröket, a civil társadalmat - azon belül a szociális partnereket -, valamint az Európai Unió Alapjogi Ügynökségét, az ENISA-t, az Európai Szabványügyi Bizottságot (CEN), az Európai Elektrotechnikai Szabványügyi Bizottságot (CENELEC) és az Európai Távközlési Szabványügyi Intézetet (ETSI).
(151) E rendelet végrehajtásának és érvényesítésének érdekében - különösen az MI-hivatalnak az általános célú MI-modellekkel kapcsolatos tevékenységeit illetően - létre kell hozni egy független szakértőkből álló tudományos testületet. A tudományos testület alkotó független szakértőket az MI területére vonatkozó naprakész tudományos vagy műszaki szakértelmük alapján kell kiválasztani, és a szakértőknek a feladataikat pártatlanul és objektíven kell végezniük, továbbá biztosítaniuk kell a feladataik és tevékenységeik végzése során szerzett információk és adatok titkosságát. Az e rendelet hatékony végrehajtásához szükséges nemzeti kapacitások megerősítése érdekében a tagállamok számára lehetővé kell tenni, hogy végrehajtási tevékenységeikhez a tudományos testület alkotó szakértők állományának támogatását igényeljék.
(152) A megfelelő végrehajtásnak és a tagállamok MI-rendszerekre vonatkozó kapacitásainak a támogatása érdekében uniós MI-tesztelési támogató struktúrákat kell kialakítani és a tagállamok rendelkezésére bocsátani.
(153) A tagállamok kulcsszerepet játszanak e rendelet alkalmazásában és érvényesítésében. E tekintetben minden tagállamnak ki kell jelölnie legalább egy bejelentő hatóságot és legalább egy piacfelügyeleti hatóságot mint az e rendelet alkalmazásának és végrehajtásának felügyelete céljából illetékes nemzeti hatóságot. A tagállamok dönthetnek úgy, hogy - sajátos nemzeti szervezeti jellemzőikkel és szükségleteikkel összhangban - bármilyen állami szervet jelölnek ki az e rendelet értelmében vett illetékes nemzeti hatóságok feladatainak ellátására. A tagállamok oldalán a szervezeti hatékonyság növelése, valamint annak érdekében, hogy egyedüli kapcsolattartó pontot határozzanak meg a nyilvánosság és egyéb, tagállami és uniós szintű partnerek felé, minden tagállamnak ki kell jelölnie egy piacfelügyeleti hatóságot, hogy egyedüli kapcsolattartó pontként járjon el.
(154) Az illetékes nemzeti hatóságoknak a jogköreiket függetlenül, pártatlanul és elfogulatlanul kell gyakorolniuk, hogy ezáltal megőrizzék tevékenységeik és feladataik objektivitását, valamint biztosítsák e rendelet alkalmazását és végrehajtását. E hatóságok tagjainak tartózkodniuk kell minden, a hatáskörükkel összeférhetetlen fellépéstől, és be kell tartaniuk az e rendelet szerinti titoktartási szabályokat.
(155) Annak biztosítása érdekében, hogy a nagy kockázatú MI-rendszerek szolgáltatói figyelembe tudják venni a nagy kockázatú MI-rendszerek használatával kapcsolatos tapasztalatokat rendszereik továbbfejlesztése, valamint a tervezési és fejlesztési folyamat során, vagy időben meg tudják hozni az esetlegesen szükséges korrekciós intézkedéseket, valamennyi szolgáltatónak rendelkeznie kell egy forgalomba hozatal utáni nyomonkövetési rendszerrel. Adott esetben a forgalomba hozatal utáni nyomon követésnek magában kell foglalnia az egyéb MI-rendszerekkel, többek között más eszközökkel és szoftverekkel való kölcsönhatás elemzését. A forgalomba hozatal utáni nyomon követés nem terjedhet ki a bűnüldöző hatóságnak minősülő alkalmazók érzékeny operatív adataira. E rendszer annak biztosítása szempontjából is kulcsfontosságú, hogy hatékonyabban és időben lehessen kezelni az olyan MI-rendszerekből eredő lehetséges kockázatokat, amelyek a forgalomba hozatalt vagy az üzembe helyezést követően továbbra is "tanulnak". Ezzel összefüggésben a szolgáltatók számára elő kell írni továbbá, hogy rendelkezzenek olyan rendszerrel, amely révén bejelentik az érintett hatóságoknak az MI-rendszereik használatának eredményeként bekövetkező súlyos váratlan eseményeket, nevezetesen a halálhoz vagy súlyos egészségkárosodáshoz vezető váratlan esemény vagy hibás működést, a kritikus infrastruktúra irányításának és üzemeltetésének súlyos és visszafordíthatatlan zavarát, az alapvető jogok védelmére irányuló, uniós jog szerinti kötelezettségek megsértését, illetve a súlyos vagyoni kárt vagy súlyos környezetkárosítást.
(156) Az ezen - uniós harmonizációs jogszabálynak minősülő - rendeletben meghatározott követelmények és kötelezettségek megfelelő és hatékony végrehajtásának biztosítása érdekében az (EU) 2019/1020 rendelettel létrehozott piacfelügyeleti és termékmegfelelőségi rendszert teljes egészében alkalmazni kell. Az e rendelet alapján kijelölt piacfelügyeleti hatóságoknak rendelkezniük kell az e rendeletben és az (EU) 2019/1020 rendeletben meghatározott valamennyi végrehajtási hatáskörrel, és a feladataikat függetlenül, pártatlanul és elfogulatlanul kell végezniük. Bár az MI-rendszerek többsége e rendelet alapján nem tartozik egyedi követelmények és kötelezettségek hatálya alá, a piacfelügyeleti hatóságok intézkedéseket hozhatnak valamennyi MI-rendszer tekintetében, amennyiben azok e rendelet értelmében kockázatot jelentenek. Az e rendelet hatálya alá tartozó uniós intézmények, ügynökségek és szervek sajátos jellege miatt helyénvaló az európai adatvédelmi biztost kijelölni az esetükben illetékes piacfelügyeleti hatóságként. Ez nem érintheti az illetékes nemzeti hatóságok tagállamok általi kijelölését. A piacfelügyeleti tevékenységek nem érinthetik a felügyelt szervezetek azon képességét, hogy feladataikat függetlenül végezzék, amennyiben az ilyen függetlenséget az uniós jog előírja.
(157) E rendelet nem érinti az alapvető jogok védelmére vonatkozó uniós jog alkalmazását felügyelő érintett nemzeti hatóságok és közigazgatási szervek - köztük az egyenlőség előmozdításával foglalkozó szervek és az adatvédelmi hatóságok - hatásköreit, feladatait, jogköreit és függetlenségét. Amennyiben a megbízatásuk miatt szükséges, az említett nemzeti hatóságoknak vagy közigazgatási szerveknek hozzáférést kell biztosítani az e rendelet alapján létrehozott dokumentációhoz is. Külön védintézkedési eljárást kell meghatározni az egészségre, a biztonságra és az alapvető jogokra kockázatot jelentő MI-rendszerekkel szembeni megfelelő és időben történő jogérvényesítés biztosítása érdekében. Az ilyen kockázatot jelentő MI-rendszerekre vonatkozó eljárást a kockázatot jelentő nagy kockázatú MI-rendszerekre, az e rendeletben meghatározott tiltott gyakorlatokra vonatkozó előírást megsértve forgalomba hozott, üzembe helyezett vagy használt tiltott rendszerekre, valamint az e rendeletben meghatározott átláthatósági követelmények megsértésével rendelkezésre bocsátott, és kockázatot jelentő MI-rendszerekre kell alkalmazni.
(158) A pénzügyi szolgáltatásokra vonatkozó uniós jog magában foglal olyan belső irányítási és kockázatkezelési szabályokat és követelményeket, amelyek a szabályozott pénzügyi intézményekre alkalmazandók az említett szolgáltatások nyújtása során, többek között akkor is, ha MI-rendszereket vesznek igénybe. Az e rendelet szerinti kötelezettségek és a pénzügyi szolgáltatásokra vonatkozó uniós jogszabályok releváns szabályai és követelményei koherens alkalmazásának és érvényesítésének biztosítása érdekében az említett jogszabályok felügyeletéért és végrehajtásáért felelős illetékes hatóságokat, különösen az 575/2013/EU európai parlamenti és tanácsi rendelet*, valamint a 2008/48/EK**, a 2009/138/EK***, a 2013/36/EU****, a 2014/17/EU***** és az (EU) 2016/97****** európai parlamenti és tanácsi irányelvben meghatározott illetékes hatóságokat - a saját hatáskörük keretein belül - illetékes hatóságként kell kijelölni e rendelet végrehajtásának felügyelete céljából, ideértve a piacfelügyeleti tevékenységeket is, a szabályozott és felügyelt pénzügyi intézmények által biztosított vagy használt MI-rendszerek tekintetében, kivéve, ha a tagállamok úgy döntenek, hogy ezen piacfelügyeleti feladatok ellátására egy másik hatóságot jelölnek ki. Az említett illetékes hatóságoknak rendelkezniük kell az e rendelet és az (EU) 2019/1020 rendelet szerinti valamennyi hatáskörrel az e rendeletben foglalt követelmények és kötelezettségek érvényesítése érdekében, ideértve az olyan utólagos piacfelügyeleti tevékenységek végzésére vonatkozó hatáskört is, amelyek adott esetben integrálhatók a pénzügyi szolgáltatásokra vonatkozó releváns uniós jog szerinti meglévő felügyeleti mechanizmusaikba és eljárásaikba. Helyénvaló előírni, hogy az 1024/2013/EU tanácsi rendelettel******* létrehozott egységes felügyeleti mechanizmusban részt vevő, a 2013/36/EU irányelv alapján szabályozott hitelintézetek felügyeletéért felelős nemzeti hatóságoknak - amikor az e rendelet szerinti piacfelügyeleti hatóságokként járnak el - haladéktalanul be kell jelenteniük az Európai Központi Banknak a piacfelügyeleti tevékenységeik során azonosított minden olyan információt, amely az Európai Központi Banknak az említett rendeletben meghatározott prudenciális felügyeleti feladatai szempontjából potenciális jelentőséggel bírhat. A 2013/36/EU irányelv szerint szabályozott hitelintézetekre alkalmazandó szabályok és az e rendelet közötti összhang további növelése érdekében helyénvaló a szolgáltatók kockázatkezeléssel, forgalomba hozatal utáni nyomon követéssel és dokumentációval kapcsolatos egyes eljárási kötelezettségeit belefoglalni a 2013/36/EU irányelv szerinti meglévő kötelezettségekbe és eljárásokba. Az átfedések elkerülése érdekében korlátozott eltéréseket kell előirányozni a szolgáltatók minőségirányítási rendszerével és a nagy kockázatú MI-rendszerek alkalmazóira rótt nyomonkövetési kötelezettséggel kapcsolatban is, amennyiben ezeket a 2013/36/EU irányelv által szabályozott hitelintézetekre alkalmazni kell. A pénzügyi ágazaton belüli következetesség és egyenlő bánásmód biztosítása érdekében ugyanezt a rendszert kell alkalmazni a 2009/138/EK irányelv szerinti biztosítókra és viszontbiztosítókra és biztosítói holdingtársaságokra is, valamint az (EU) 2016/97 irányelv szerinti biztosításközvetítőkre és a pénzügyi intézmények egyéb olyan típusaira, amelyekre a pénzügyi szolgáltatásokra vonatkozó uniós jog alapján létrehozott, a belső irányításra, rendszerekre vagy eljárásokra vonatkozó követelmények vonatkoznak.[25]
(159) Valamennyi, a biometria terén alkalmazott nagy kockázatú MI-rendszerekért felelős piacfelügyeleti hatóságnak - az e rendelet egyik mellékletében foglalt felsorolás szerint, amennyiben az említett rendszerek használata a következő területek céljait szolgálja: bűnüldözés, migráció, menekültügy és határellenőrzés, illetve az igazságszolgáltatás és a demokratikus folyamatok - hatékony vizsgálati és korrekciós hatáskörökkel kell rendelkeznie, amelyek magukban foglalják legalább azt, hogy a felügyeleti hatóság hozzáférjen valamennyi kezelt személyes adathoz és a feladatainak teljesítéséhez szükséges valamennyi információhoz. A piacfelügyeleti hatóságoknak képesnek kell lenniük hatásköreik teljes függetlenséggel történő gyakorlására. Az érzékeny operatív adatokhoz való, e rendelet szerinti hozzáférésük semmilyen korlátozása nem érintheti az (EU) 2016/680 irányelv által rájuk ruházott hatásköröket. Az adatoknak az e rendelet szerinti, a nemzeti adatvédelmi hatóságokkal való közlésére vonatkozó kizárás nem érintheti e hatóságok jelenlegi vagy jövőbeli, e rendelet hatályán kívül eső hatásköreit.
(160) A piacfelügyeleti hatóságok és a Bizottság számára lehetővé kell tenni, hogy javaslatot tegyenek olyan, a piacfelügyeleti hatóságok által önállóan vagy a Bizottsággal közösen végzendő közös tevékenységekre, például közös vizsgálatokra, amelyek célja - e rendelet vonatkozásában - a megfelelés előmozdítása, a meg nem felelés feltárása, a figyelemfelhívás és az iránymutatás a nagy kockázatú MI-rendszerek azon konkrét kategóriáira tekintettel, amelyekről bebizonyosodik, hogy két vagy több tagállamban jelentenek súlyos kockázatot. A megfelelés előmozdítását célzó közös tevékenységeket az (EU) 2019/1020 rendelet 9. cikkével összhangban kell megvalósítani. Az MI-hivatalnak a közös vizsgálatokhoz koordinációs támogatást kell nyújtania.
(161) Egyértelművé kell tenni az általános célú MI-modellekre épülő MI-rendszerekkel kapcsolatos uniós és nemzeti szintű feladat- és hatásköröket. A hatáskörök közötti átfedések elkerülése érdekében, amennyiben valamely MI-rendszer általános célú MI-modellre épül és mind a rendszert, mind a modellt ugyanazon szolgáltató biztosítja, a felügyeletet uniós szinten, az MI-hivatalon keresztül kell végezni: ebben az esetben az említett hivatalnak kell gyakorolnia az (EU) 2019/1020 rendelet értelmében vett piacfelügyeleti hatóság hatásköreit. Az MI-rendszerek felügyeletéért minden egyéb esetben továbbra is a nemzeti piacfelügyeleti hatóságok felelősek. Ahhoz azonban, hogy az alkalmazók az általános célú MI-rendszereket közvetlenül használhassák legalább egy, nagy kockázatúnak minősített célra, a piacfelügyeleti hatóságoknak együtt kell működniük az MI-hivatallal a megfelelőségi értékelések elvégzésében, valamint ennek megfelelően tájékoztatniuk kell a Testületet és a többi piacfelügyeleti hatóságot. Továbbá, a piacfelügyeleti hatóságok számára lehetővé kell tenni, hogy az MI-hivatal segítségét kérjék, amennyiben valamely nagy kockázatú MI-rendszer vizsgálatát nem tudják lezárni amiatt, hogy nem férnek hozzá bizonyos, a nagy kockázatú MI-rendszer alapját képező általános célú MI-modellel kapcsolatos információkhoz. Ilyen esetekben az (EU) 2019/1020 rendelet VI. fejezetében foglalt, a határokon átnyúló kölcsönös segítségnyújtásra vonatkozó eljárást kell értelemszerűen alkalmazni.
(162) Ahhoz, hogy uniós szinten a lehető legjobban ki lehessen használni a központosított uniós szakértelmet és szinergiákat, az általános célú MI-modellek szolgáltatóira vonatkozó kötelezettségekkel kapcsolatos felügyeleti és érvényesítési hatásköröket a Bizottságnak kell gyakorolnia. Az MI-hivatal számára lehetővé kell tenni minden szükséges intézkedés meghozatalát e rendeletnek az általános célú MI-modellek tekintetében történő hatékony végrehajtásának nyomon követése érdekében. Lehetővé kell tenni számára azt is, hogy az általános célú MI-modellek szolgáltatóira vonatkozó szabályok esetleges megsértésének kivizsgálását mind saját kezdeményezésre - nyomonkövetési tevékenységeinek eredményei nyomán -, mind a piacfelügyeleti hatóságok kérésére, az e rendeletben foglalt feltételekkel összhangban elvégezhesse. A hatékony nyomon követés érdekében az MI-hivatalnak biztosítania kell annak lehetőségét, hogy a downstream szolgáltatók panaszt nyújthassanak be az általános célú MI-modellek és -rendszerek szolgáltatóira vonatkozó szabályok esetleges megsértése kapcsán.
(163) Az általános célú MI-modellek irányítási rendszereinek kiegészítése céljából a tudományos testületnek támogatnia kell az MI-hivatal nyomonkövetési tevékenységeit, és bizonyos esetekben minősített riasztásokat küldhet az MI-hivatal számára, amelyek utókövetési intézkedésekhez - így például vizsgálatokhoz - vezethetnek. Így kell eljárni, amikor a tudományos testület okkal feltételezi, hogy valamely általános célú MI-modell uniós szinten konkrét és azonosítható kockázatot hordoz. Továbbá, így kell eljárni, amikor a tudományos testület okkal feltételezi, hogy valamely általános célú MI-modell megfelel azon kritériumoknak, amelyek a rendszerszintű kockázatot jelentő általános célú MI-modellként való besoroláshoz vezetnének. A tudományos testületnek az említett feladatok ellátásához szükséges információkkal való ellátása érdekében létre kell hozni egy mechanizmust, amelynek révén a tudományos testület felkérheti a Bizottságot, hogy valamely szolgáltatótól dokumentációt vagy információkat kérjen be.
(164) Az MI-hivatal számára lehetővé kell tenni, hogy meghozza azon intézkedéseket, amelyek az általános célú MI-modellek szolgáltatóira vonatkozóan e rendelet által meghatározott kötelezettségek hatékony végrehajtásának és betartásának nyomon követéséhez szükségesek. Az MI-hivatal számára lehetővé kell tenni, hogy az e rendelet által biztosított hatáskörrel összhangban kivizsgálja az esetleges jogsértéseket, többek között azáltal, hogy dokumentációt és információkat kér be, értékeléseket végez, valamint az általános célú MI-modellek szolgáltatóitól intézkedések foganatosítását kéri. Az értékelések végzése során - a független szakértelem bevonása céljából - az MI-hivatal számára lehetővé kell tenni, hogy független szakértőket bízzon meg az értékeléseknek az MI-hivatal nevében való elvégzésével. A kötelezettségeknek való megfelelést többek között a következők révén kell biztosítani: a megfelelő intézkedések meghozatalára való felkérés - ideértve az azonosított rendszerszintű kockázatok esetén hozott kockázatenyhítő intézkedéseket -, valamint a modell forgalmazásának korlátozása, forgalomból való kivonása vagy visszahívása. Amennyiben az e rendelet által előírt eljárási jogokon túlmenően szükséges, az általános célú MI-modellek szolgáltatói biztosíték gyanánt élhetnek az (EU) 2019/1020 rendelet 18. cikkében előírt jogokkal, amelyeket értelemszerűen, az e rendelet által előírt konkrétabb eljárási jogok sérelme nélkül kell alkalmazni.
(165) A nagy kockázatú MI-rendszerektől eltérő MI-rendszerek e rendelet követelményeivel összhangban történő fejlesztése az etikus és megbízható MI szélesebb körű elterjedéséhez vezethet az Unióban. A nem nagy kockázatú MI-rendszerek szolgáltatóit ösztönözni kell olyan magatartási kódexek létrehozására, ideértve a kapcsolódó irányítási mechanizmusokat is, amelyek célja előmozdítani a nagy kockázatú MI-rendszerekre alkalmazandó kötelező követelmények közül néhány vagy valamennyi önkéntes alkalmazását, az adott rendszerek rendeltetéséhez és alacsonyabb kockázati szintjéhez igazítva, valamint figyelembe véve az olyan, rendelkezésre álló műszaki megoldásokat és iparági legjobb gyakorlatokat, mint például a modell és az adatkártyák. A szolgáltatókat, valamint adott esetben valamennyi - akár nagy, akár nem nagy kockázatú - MI-rendszer és az MI-modellek fejlesztőit ösztönözni kell arra is, hogy önkéntes alapon alkalmazzanak további követelményeket például a következőkkel kapcsolatban: a megbízható mesterséges intelligenciára vonatkozó uniós etikai iránymutatás elemei; környezeti fenntarthatóság; az MI-jártassághoz kapcsolódó intézkedések; inkluzivitás és sokszínűség az MI-rendszerek tervezésében és fejlesztésében - a kiszolgáltatott személyekre és a fogyatékossággal élő személyek számára biztosított akadálymentességre fordított figyelmet is beleértve; az érdekelt feleknek az MI-rendszerek tervezésében és fejlesztésében való részvétele - adott esetben olyan érintett érdekelt felek bevonásával, mint az üzleti és a civil szféra szervezetei, a tudományos körök, a kutatóhelyek, a szakszervezetek és a fogyasztóvédelmi szervezetek -, valamint a fejlesztői csapatoknak a nemek közötti egyensúlyra is kiterjedő sokszínűsége. Hatékonyságuk biztosításának érdekében az önkéntes magatartási kódexeknek egyértelmű célkitűzéseken és az e célkitűzések elérésének mérésére szolgáló fő teljesítménymutatókon kell alapulniuk. Azokat inkluzív módon is kell kialakítani, adott esetben olyan releváns érdekelt felek bevonásával, mint az üzleti és a civil szféra szervezetei, a tudományos körök, a kutatóhelyek, a szakszervezetek és a fogyasztóvédelmi szervezetek. A Bizottság azon technikai akadályok csökkentésének megkönnyítése érdekében, amelyek gátolják a mesterséges intelligencia fejlesztésére irányuló, határokon átnyúló adatcserét, kezdeményezéseket dolgozhat ki - többek között ágazati jellegűeket is - például az adathozzáférési infrastruktúrára, valamint a különböző típusú adatok szemantikai és műszaki interoperabilitására vonatkozóan.
(166) Fontos, hogy a forgalomba hozatalkor vagy az üzembe helyezéskor azok a termékekhez kapcsolódó MI-rendszerek is biztonságosak legyenek, amelyek e rendelet értelmében nem nagy kockázatúak, és ezért nem kötelesek megfelelni a nagy kockázatú MI-rendszerekre vonatkozóan meghatározott követelményeknek. E cél elérése érdekében biztonsági hálóként alkalmazni kellene az (EU) 2023/988 európai parlamenti és tanácsi rendeletet*.[26]
(167) Az illetékes hatóságok uniós és nemzeti szinten folytatott megbízható és konstruktív együttműködésének biztosítása érdekében az e rendelet alkalmazásában részt vevő valamennyi félnek tiszteletben kell tartania a feladatai ellátása során megszerzett információk és adatok bizalmas jellegét, az uniós és a nemzeti joggal összhangban. Feladataikat és tevékenységeiket oly módon kell végezniük, hogy védjék különösen a szellemitulajdon-jogokat, a bizalmas üzleti információkat és az üzleti titkokat, e rendelet hatékony végrehajtását, a köz- és nemzetbiztonsági érdekeket, a büntetőjogi és a közigazgatási eljárások integritását, valamint a minősített adatok sértetlenségét.
(168) Az e rendelet szerinti kötelezettségeknek való megfelelést bírságok kiszabása és egyéb végrehajtási intézkedések útján kell biztosítani. A tagállamoknak minden szükséges intézkedést meg kell tenniük az e rendeletben foglalt rendelkezések végrehajtásának biztosítása érdekében, többek között azáltal, hogy hatékony, arányos és visszatartó erejű szankciókat állapítanak meg a megsértésük esetére, és biztosítaniuk kell a kétszeres eljárás alá vonás és a kétszeres büntetés tilalmának tiszteletben tartását. Az e rendelet megsértése esetén alkalmazandó közigazgatási szankciók megerősítése és harmonizálása érdekében meg kell állapítani az egyes konkrét jogsértések esetében kiszabandó közigazgatási bírságok felső határait. A bírságok összegének megállapításakor a tagállamoknak minden egyes esetben figyelembe kell venniük a konkrét helyzet valamennyi releváns körülményét, kellő figyelmet fordítva különösen a jogsértés és következményeinek jellegére, súlyosságára és időtartamára, valamint a szolgáltató méretére, különösen akkor, ha a szolgáltató egy kkv, ideértve az induló innovatív vállalkozásokat (start-up) is. Az európai adatvédelmi biztosnak hatáskörrel kell rendelkeznie arra, hogy pénzbírságot szabjon ki az e rendelet hatálya alá tartozó uniós intézményekre, ügynökségekre és szervekre.
(169) Az általános célú MI-modellek szolgáltatóinak e rendeletben előírt kötelezettségeinek való megfelelést többek között pénzbírságok kiszabása útján kell biztosítani. E célból az említett kötelezettségek megszegése esetére - ideértve a Bizottság által e rendelettel összhangban megkövetelt intézkedéseknek való megfelelés elmulasztását is - megfelelő mértékű pénzbírságokat kell meghatározni, figyelembe véve a megfelelő elévülési időket, az arányosság elvével összhangban. A Bizottság által e rendelet alapján hozott valamennyi határozatot az EUMSZ-szel összhangban az Európai Unió Bírósága felülvizsgálhatja, ideértve a Bíróságnak a büntetések tekintetében az EUMSZ 261. cikke értelmében fennálló korlátlan joghatóságát is.
(170) Az uniós és a nemzeti jog már jelenleg is hatékony jogorvoslatokat ír elő azon természetes és jogi személyek számára, akik, illetve amelyek jogait és szabadságait az MI-rendszerek kedvezőtlenül érintik. E jogorvoslatok sérelme nélkül, bármely olyan természetes vagy jogi személy, aki vagy amely okkal feltételezi, hogy e rendelet rendelkezéseit megsértették, panaszt nyújthat be a megfelelő piacfelügyeleti hatósághoz.
(171) Az érintett személyek számára biztosítani kell az ahhoz való jogot, hogy magyarázatot kapjanak abban az esetben, ha valamely alkalmazó döntése elsősorban bizonyos, e rendelet hatálya alá tartozó, nagy kockázatú MI-rendszerek kimenetén alapul, és ha az említett döntés olyan joghatásokat vagy az említett személyeket hasonlóan jelentősen érintő, olyan hatásokat vált ki, amelyek megítélésük szerint kedvezőtlen hatást gyakorolnak egészségükre, biztonságukra vagy alapvető jogaikra nézve. Az említett magyarázatnak egyértelműnek és érdeminek kell lennie, és olyannak, amely az érintett személyek számára alapot biztosít jogaik gyakorlásához. A magyarázathoz való jog nem alkalmazandó azon MI-rendszerek használatára, amelyekre az uniós vagy a nemzeti jogból következően kivételek vagy korlátozások vonatkoznak, valamint csak annyiban alkalmazandó, amennyiben arról az uniós jog még nem rendelkezik.
(172) Az e rendelet megsértését bejelentő személyeket az uniós jog alapján védelemben kell részesíteni. Az e rendelet megsértéseinek bejelentésére és az ilyen jogsértéseket bejelentő személyek védelmére tehát alkalmazni kell az (EU) 2019/1937 európai parlamenti és tanácsi irányelvet*.[27]
(173) Annak biztosítása érdekében, hogy a szabályozási keret szükség esetén kiigazítható legyen, a Bizottságot fel kell hatalmazni arra, hogy az EUMSZ 290. cikkének megfelelően jogi aktusokat fogadjon a következők módosítása céljából: azon feltételek, amelyek mellett egy MI-rendszert nem minősülhet nagy kockázatúnak; a nagy kockázatú MI-rendszerek listája; a műszaki dokumentációra vonatkozó rendelkezések; az EU-megfelelőségi nyilatkozat tartalma; a megfelelőségértékelési eljárásokra vonatkozó rendelkezések; azon a rendelkezések, amelyek megállapítják, hogy mely nagy kockázatú MI-rendszerekre kell a minőségirányítási rendszerek értékelésén és a műszaki dokumentáció értékelésén alapuló megfelelőségértékelési eljárást alkalmazni; a rendszerszintű kockázatot jelentő általános célú MI-modellek besorolására vonatkozó szabályokban foglalt küszöbérték, referenciaértékek és mutatók, többek között az említett referenciaértékek és mutatók kiegészítése révén; a rendszerszintű kockázatot jelentő általános célú MI-modellek megjelölésére vonatkozó kritériumok; műszaki dokumentáció az általános célú MI-modellek szolgáltatói számára; és az általános célú MI-modellek szolgáltatóira vonatkozó átláthatósági információk. Különösen fontos, hogy a Bizottság az előkészítő munkája során megfelelő konzultációkat folytasson, többek között szakértői szinten is, és hogy e konzultációkra a jogalkotás minőségének javításáról szóló, 2016. április 13-i intézményközi megállapodásban* megállapított elvekkel összhangban kerüljön sor. Így különösen, a felhatalmazáson alapuló jogi aktusok előkészítésében való egyenlő részvétel biztosítása érdekében az Európai Parlament és a Tanács a tagállamok szakértőivel egyidejűleg kézhez kap minden dokumentumot, és szakértőik rendszeresen részt vehetnek a Bizottság felhatalmazáson alapuló jogi aktusok előkészítésével foglalkozó szakértői csoportjainak ülésein.[28]
(174) A gyors technológiai fejlődésre és az e rendelet hatékony alkalmazásához szükséges műszaki szakértelemre tekintettel, a Bizottságnak 2029. augusztus 2-ig, és ezt követően négyévente értékelnie kell és felül kell vizsgálnia e rendeletet, és jelentést kell tennie az Európai Parlamentnek és a Tanácsnak. Emellett a Bizottságnak - figyelembe véve az e rendelet hatályára gyakorolt hatásokat - évente egyszer el kell végeznie annak vizsgálatát, hogy szükség van-e a nagy kockázatú MI-rendszerek listájának és a tiltott gyakorlatok jegyzékének módosítására. Ezenfelül a Bizottságnak 2028. augusztus 2-ig, és ezt követően négyévente értékelnie kell azt, és jelentést kell tennie az Európai Parlamentnek és a Tanácsnak arról, hogy szükség van-e a következők módosítására, a további intézkedések vagy fellépések szükségességét is beleértve: a nagy kockázatú területekre vonatkozó címek e rendelet mellékletében foglalt felsorolása; az átláthatósági kötelezettségek hatókörébe tartozó MI-rendszerek; a felügyeleti és irányítási rendszer hatékonysága; valamint az általános célú MI-modellek energiahatékony fejlesztésével kapcsolatos szabvány jellegű dokumentumok kidolgozásának előrehaladása. Végül, a Bizottságnak 2028. augusztus 2-ig, és ezt követően háromévente értékelnie kell az önkéntes magatartási kódexek hatását és hatékonyságát, hogy előmozdítsa a nagy kockázatú MI-rendszerekre előírt követelményeknek a nagy kockázatú MI-rendszerektől eltérő MI-rendszerek esetében való alkalmazását és esetleg az ilyen MI-rendszerekre vonatkozó további követelmények alkalmazását.
(175) E rendelet végrehajtása egységes feltételeinek biztosítása érdekében a Bizottságra végrehajtási hatásköröket kell ruházni. Ezeket a végrehajtási hatásköröket a 182/2011/EU európai parlamenti és tanácsi rendeletnek* megfelelően kell gyakorolni.[29]
(176) Mivel e rendelet célját - nevezetesen a belső piac működésének javítását és az emberközpontú és megbízható MI elterjedésének előmozdítását, egyúttal az Unióban az egészség, a biztonság és a Chartában rögzített alapvető jogok, többek között a demokrácia, a jogállamiság és a környezetvédelem magas szintű védelmének biztosítását az MI-rendszerek káros hatásaival szemben, valamint az innováció támogatását - a tagállamok nem tudják kielégítően megvalósítani, az Unió szintjén azonban az intézkedés terjedelme és hatása miatt e célok jobban megvalósíthatók, az Unió intézkedéseket hozhat a szubszidiaritásnak az EUSZ 5. cikkében foglalt elvével összhangban. Az arányosságnak az említett cikkben foglalt elvével összhangban e rendelet nem lépi túl az e cél eléréséhez szükséges mértéket.
(177) A jogbiztonság biztosítása, a gazdasági szereplők számára megfelelő alkalmazkodási időszak biztosítása, valamint a piaci zavarok elkerülése érdekében - többek között az MI-rendszerek folytonos használatának biztosítása révén - helyénvaló, hogy e rendelet csak akkor legyen alkalmazandó az alkalmazásának általános időpontja előtt forgalomba hozott vagy üzembe helyezett nagy kockázatú MI-rendszerekre, ha az említett időponttól kezdve az említett rendszerek kialakításában vagy rendeltetésében jelentős változások következnek be. Helyénvaló egyértelművé tenni, hogy e tekintetben a jelentős változás fogalmát úgy kell értelmezni, hogy az lényegében egyenértékű a jelentős módosítás azon fogalmával, amelyet csak az e rendelet szerinti nagy kockázatú MI-rendszerek tekintetében használnak. Kivételesen és a nyilvános elszámoltathatóságra tekintettel, az e rendelet egyik mellékletében felsorolt jogi aktusokkal létrehozott nagy méretű informatikai rendszerek alkotóelemeit képező MI-rendszerek üzemeltetőinek, illetve a hatóságok által használni kívánt nagy kockázatú MI-rendszerek üzemeltetőinek meg kell tenniük a szükséges lépéseket annak érdekében, hogy 2030 végéig és 2030. augusztus 2-ig megfeleljenek e rendelet követelményeinek.
(178) A nagy kockázatú MI-rendszerek szolgáltatóit ösztönzik arra, hogy - önkéntes alapon - már az átmeneti időszakban kezdjenek el megfelelni e rendelet releváns kötelezettségeinek.
(179) Ezt a rendeletet 2026. augusztus 2-től kell alkalmazni. Ugyanakkor - tekintettel az MI bizonyos módokon történő használatához kapcsolódó elfogadhatatlan kockázatra - e rendelet tilalmait és általános rendelkezéseit már 2025. február 2-től alkalmazni kell. Míg az említett tilalmak hatálya az irányítás létrehozásával és e rendelet végrehajtásával válik teljessé, a tilalmak előzetes alkalmazása fontos az elfogadhatatlan kockázatok figyelembevétele, valamint a más - például polgári jogi - eljárásokra való hatásgyakorlás szempontjából. Ezenfelül az irányítással és a megfelelőségértékelési rendszerrel kapcsolatos infrastruktúrának 2026. augusztus 2. előtt működőképesnek kell lennie, ezért a bejelentett szervezetekre és az irányítási struktúrára vonatkozó rendelkezéseket 2025. augusztus 2-től kell alkalmazni. A technológiai fejlődésnek és az általános célú MI-modellek bevezetésének gyors ütemére tekintettel, az általános célú MI-modellek szolgáltatóira vonatkozó kötelezettségeket 2025. augusztus 2-től kell alkalmazni. A gyakorlati kódexeknek 2025. május 2-ig kell elkészülniük annak érdekében, hogy a szolgáltatók számára lehetővé váljon a megfelelés időben való igazolása. Az MI-hivatalnak biztosítania kell, hogy a besorolási szabályok és eljárások a technológiai fejlődés fényében naprakészek legyenek. Emellett a tagállamoknak meg kell állapítaniuk a szankciókra, többek között a közigazgatási bírságokra vonatkozó szabályokat, azokról értesíteniük kell a Bizottságot, és biztosítaniuk kell, hogy azokat e rendelet alkalmazásának kezdőnapjáig megfelelően és hatékonyan végrehajtsák. Ezért a szankciókra vonatkozó rendelkezéseket 2025. augusztus 2-től kell alkalmazni.
(180) Az (EU) 2018/1725 rendelet 42. cikkének (1) és (2) bekezdésével összhangban konzultációra került sor az európai adatvédelmi biztossal és az Európai Adatvédelmi Testülettel, aki és amely 2021. június 18-án nyilvánított közös véleményt,
ELFOGADTA EZT A RENDELETET:
I. FEJEZET
ÁLTALÁNOS RENDELKEZÉSEK
1. cikk
Tárgy
(1) E rendelet célja, hogy javítsa a belső piac működését, valamint, hogy előmozdítsa az emberközpontú és megbízható mesterséges intelligencia (MI) elterjedését, biztosítva ugyanakkor az Unióban az egészség, a biztonság és a Chartában rögzített alapvető jogok - többek között a demokrácia, a jogállamiság és a környezetvédelem - magas szintű védelmét az MI-rendszerek káros hatásaival szemben, továbbá, hogy támogassa az innovációt.
(2) E rendelet megállapítja a következőket:
a) az MI-rendszerek Unión belüli forgalomba hozatalára, üzembe helyezésére és használatára vonatkozó harmonizált szabályok;
b) bizonyos MI-gyakorlatokra vonatkozó tilalmak;
c) a nagy kockázatú MI-rendszerekre vonatkozó különös követelmények és az ilyen rendszerek üzemeltetőire vonatkozó kötelezettségek;
d) bizonyos MI-rendszerekre vonatkozó harmonizált átláthatósági szabályok;
e) az általános célú MI-modellek forgalomba hozatalára vonatkozó harmonizált szabályok;
f) a piaci nyomon követésre, a piacfelügyeletre, az irányításra és a végrehajtásra vonatkozó szabályok;
g) az innovációt támogató intézkedések, különösen a kkv-kra összpontosítva, ideértve az induló innovatív vállalkozásokat is.
2. cikk
Hatály
(1) E rendelet a következőkre alkalmazandó:
a) az Unióban MI-rendszereket forgalomba hozó vagy üzembe helyező, vagy általános célú MI-modelleket forgalomba hozó szolgáltatók, függetlenül attól, hogy az említett szolgáltatók letelepedési vagy tartózkodási helye az Unióban vagy harmadik országban van-e;
b) az MI-rendszerek azon alkalmazói, amelyek letelepedési vagy tartózkodási helye az Unión belül van;
c) az MI-rendszerek azon szolgáltatói és alkalmazói, amelyek letelepedési vagy tartózkodási helye harmadik országban van, amennyiben az MI-rendszer által előállított kimenet használatára az Unióban kerül sor;
d) az MI-rendszerek importőrei és forgalmazói;
e) azon termékgyártók, amelyek a termékükkel együtt MI-rendszert hoznak forgalomba vagy helyeznek üzembe a saját nevük vagy védjegyük alatt;
f) a szolgáltatóknak az Unión kívül letelepedett meghatalmazott képviselői;
g) az Unión kívül tartózkodó érintett személyek.
(2) Azon MI-rendszerek esetében, amelyeket a 6. cikk (1) bekezdésével összhangban az I. melléklet B. szakaszában felsorolt uniós harmonizációs jogszabályok hatálya alá tartozó termékekhez kapcsolódó nagy kockázatú MI-rendszerként soroltak be, kizárólag a 6. cikk (1) bekezdését, a 102-109. cikket és a 112. cikket kell alkalmazni. Az 57. cikk csak annyiban alkalmazandó, amennyiben e rendeletnek a nagy kockázatú MI-rendszerekre vonatkozó követelményeit beépítették az említett uniós harmonizációs jogszabályokba.
(3) E rendelet nem alkalmazandó az uniós jog hatályán kívül eső területekre, és semmilyen esetben nem érinti a tagállamok nemzetbiztonságra vonatkozó hatásköreit, függetlenül attól, hogy a tagállamok milyen típusú szervezetet bíznak meg az említett hatáskörökkel kapcsolatos feladatok ellátásával.
E rendelet nem alkalmazandó az MI-rendszerekre, ha és amennyiben azok forgalomba hozatala, üzembe helyezése vagy használata - módosítással vagy módosítás nélkül - kizárólag katonai, védelmi vagy nemzetbiztonsági célra történik, függetlenül az e tevékenységeket végző szervezet típusától.
E rendelet nem alkalmazandó azon MI-rendszerekre, amelyeket nem az Unióban hoztak forgalomba vagy helyeztek üzembe, amennyiben a kimenetet az Unióban kizárólag katonai, védelmi vagy nemzetbiztonsági célra használják, függetlenül az e tevékenységeket végző szervezet típusától.
(4) E rendelet nem alkalmazandó az (1) bekezdés alapján e rendelet hatálya alá tartozó harmadik országbeli hatóságokra és nemzetközi szervezetekre, amennyiben ezek a hatóságok vagy szervezetek az Unióval, illetve egy vagy több tagállammal folytatott bűnüldözési és igazságügyi együttműködésre vonatkozó nemzetközi együttműködés vagy megállapodások keretében használnak MI-rendszereket, feltéve, hogy az ilyen harmadik ország vagy nemzetközi szervezet megfelelő biztosítékokat nyújt az egyének alapvető jogainak és szabadságainak védelme tekintetében.
(5) E rendelet nem érinti az (EU) 2022/2065 rendelet II. fejezetében foglalt, a közvetítő szolgáltatók felelősségére vonatkozó rendelkezések alkalmazását.
(6) E rendelet nem alkalmazandó a kifejezetten a tudományos kutatás-fejlesztés kizárólagos céljára kifejlesztett és üzembe helyezett MI-rendszerekre vagy MI-modellekre, és azok kimenetére sem.
(7) A személyes adatok, a magánélet és a közlés bizalmasságának védelmére vonatkozó uniós jog alkalmazandó az e rendeletben megállapított jogokkal és kötelezettségekkel összefüggésben feldolgozott személyes adatokra. E rendelet 10. cikke (5) bekezdésének és 59. cikkének sérelme nélkül, e rendelet nem érinti az (EU) 2016/679 vagy az (EU) 2018/1725 rendeletet, vagy a 2002/58/EK vagy az (EU) 2016/680 irányelvet.
(8) E rendelet nem alkalmazandó semmilyen, az MI-rendszerekkel vagy MI-modellekkel kapcsolatos kutatási, tesztelési és fejlesztési tevékenységre azt megelőzően, hogy azokat forgalomba hozzák vagy üzembe helyezik. Az ilyen tevékenységeket az alkalmazandó uniós joggal összhangban kell végezni. Az említett kizárás nem vonatkozik a valós körülmények közötti tesztelésre.
(9) E rendelet nem érinti a fogyasztóvédelemre és a termékbiztonságra vonatkozó egyéb uniós jogi aktusokban megállapított szabályokat.
(10) E rendelet nem alkalmazandó azon alkalmazók kötelezettségeire, akik az MI-rendszereket pusztán személyes, nem szakmai tevékenység során használó természetes személyek.
(11) E rendelet nem zárja ki az Uniót vagy a tagállamokat abból, hogy olyan törvényi, rendeleti vagy közigazgatási rendelkezéseket tartsanak fenn vagy vezessenek be, amelyek kedvezőbbek a munkavállalókra nézve az MI-rendszerek munkáltatók általi használatával kapcsolatos jogaik védelme tekintetében, vagy abból, hogy a munkavállalók számára kedvezőbb kollektív szerződések alkalmazását ösztönözzék vagy tegyék lehetővé.
(12) E rendelet nem alkalmazandó a szabad és nyílt forráskódú licencek alapján kibocsátott MI-rendszerekre, kivéve, ha azokat nagy kockázatú MI-rendszerként, vagy az 5. vagy 50. cikk hatálya alá tartozó MI-rendszerként hozzák forgalomba vagy helyezik üzembe.
3. cikk
Fogalommeghatározások
E rendelet alkalmazásában:
1. "MI-rendszer": gépi alapú rendszer, amelyet különböző autonómiaszinteken történő működésre terveztek, és amely a bevezetését követően alkalmazkodóképességet tanúsíthat, és amely a kapott bemenetből - explicit vagy implicit célok érdekében - kikövetkezteti, miként generáljon olyan kimeneteket, mint például előrejelzéseket, tartalmakat, ajánlásokat vagy döntéseket, amelyek befolyásolhatják a fizikai vagy a virtuális környezetet;
2. "kockázat": a kár bekövetkezési valószínűségének és az említett kár súlyosságának kombinációja;
3. "szolgáltató": olyan természetes vagy jogi személy, hatóság, ügynökség vagy egyéb szerv, aki vagy amely MI-rendszert vagy általános célú MI-modellt fejleszt vagy fejleszttet, és a saját neve vagy védjegye alatt - akár fizetés ellenében, akár ingyenesen - az MI-rendszert vagy az általános célú MI-modellt forgalomba hozza, vagy az MI-rendszert üzembe helyezi;
4. "alkalmazó": olyan természetes vagy jogi személy, hatóság, ügynökség vagy egyéb szerv, aki vagy amely a felügyelete alá tartozó MI-rendszert használja, kivéve, ha az MI-rendszert személyes, nem szakmai jellegű tevékenység során használják;
5. "meghatalmazott képviselő": az Unióban tartózkodó vagy ott letelepedett természetes vagy jogi személy, aki vagy amely egy MI-rendszer vagy egy általános célú MI-modell szolgáltatójától írásbeli meghatalmazást kapott és fogadott el az e rendeletben meghatározott kötelezettségeknek, illetve eljárásoknak a szolgáltató nevében történő teljesítésére, illetve lefolytatására;
6. "importőr": az Unióban tartózkodó vagy ott letelepedett természetes vagy jogi személy, aki vagy amely egy harmadik országban letelepedett természetes vagy jogi személy nevével vagy védjegyével ellátott MI-rendszert hoz forgalomba;
7. "forgalmazó": az a szolgáltatótól vagy az importőrtől eltérő természetes vagy jogi személy az ellátási láncban, aki vagy amely az uniós piacon MI-rendszert forgalmaz;
8. "gazdasági szereplő": valamely szolgáltató, termékgyártó, alkalmazó, meghatalmazott képviselő, importőr vagy forgalmazó;
9. "forgalomba hozatal": valamely MI-rendszer vagy általános célú MI-modell első alkalommal történő forgalmazása az uniós piacon;
10. "forgalmazás": az uniós piacon egy MI-rendszer vagy egy általános célú MI-modell kereskedelmi tevékenység során történő rendelkezésre bocsátása terjesztés vagy használat céljából, akár fizetés ellenében, akár ingyenesen;
11. "üzembe helyezés": valamely MI-rendszer első használatra történő rendelkezésre bocsátása közvetlenül az alkalmazó számára vagy saját használatra az Unióban, a rendeltetésének megfelelően;
12. "rendeltetés": az MI-rendszer azon használata, amelyre a szolgáltató azt szánta, ideértve a sajátos használati kontextust és feltételeket, a szolgáltató által a használati utasításban, a promóciós vagy értékesítési anyagokban és nyilatkozatokban, valamint a műszaki dokumentációban megadott információk szerint;
13. "észszerűen előrelátható rendellenes használat": valamely MI-rendszer oly módon történő használata, amely nem felel meg a rendeltetésének, de amely előállhat észszerűen előrelátható emberi magatartás vagy más rendszerekkel - többek között más MI-rendszerekkel - való kölcsönhatás eredményeként;
14. "biztonsági alkotórész": egy termék vagy egy MI-rendszer olyan alkotórésze, amely az említett termék vagy MI-rendszer tekintetében biztonsági funkciót tölt be, vagy amelynek a meghibásodása vagy hibás működése veszélyezteti a személyek egészségét és biztonságát vagy a vagyontárgyakat;
15. "használati utasítás": a szolgáltató által a célból megadott információ, hogy tájékoztassa az alkalmazót különösen az MI-rendszer rendeltetéséről és megfelelő használatáról;
16. "MI-rendszer visszahívása": minden olyan intézkedés, amelynek célja elérni az alkalmazók rendelkezésére bocsátott MI-rendszernek a szolgáltatóhoz való visszajuttatását, vagy az üzemen kívül helyezését vagy a használatának letiltását;
17. "MI-rendszer forgalomból történő kivonása": minden olyan intézkedés, amelynek célja megakadályozni az ellátási láncba már bekerült MI-rendszer forgalmazását;
18. "az MI-rendszer teljesítménye": valamely MI-rendszer azon képessége, hogy betöltse rendeltetését;
19. "bejelentő hatóság": a megfelelőségértékelő szervezetek értékeléséhez, kijelöléséhez és bejelentéséhez, valamint a nyomon követésükhöz szükséges eljárások kialakításáért és lefolytatásáért felelős nemzeti hatóság;
20. "megfelelőségértékelés": azon eljárás, amely kimutatja, hogy teljesítették-e egy nagy kockázatú MI-rendszerrel kapcsolatos, a III. fejezet 2. szakaszában meghatározott követelményeket;
21. "megfelelőségértékelő szervezet": olyan szervezet, amely harmadik fél általi megfelelőségértékelési tevékenységeket végez, ideértve a tesztelést, a tanúsítást és az ellenőrzést is;
22. "bejelentett szervezet": az e rendelettel és az egyéb releváns uniós harmonizációs jogszabályokkal összhangban bejelentett megfelelőségértékelő szervezet;
23. "jelentős módosítás": az MI-rendszer olyan, a forgalomba hozatalát vagy üzembe helyezését követő módosítása, amelyet a szolgáltató által elvégzett első megfelelőségértékelésben nem irányoztak elő vagy terveztek, és amely érinti az MI-rendszer megfelelését a III. fejezet 2. szakaszában meghatározott követelményeknek, vagy az MI-rendszer értékelésének tárgyát képező rendeltetés módosulását eredményezi;
24. "CE-jelölés": olyan jelölés, amellyel a szolgáltató jelzi, hogy az MI-rendszer megfelel a III. fejezet 2. szakaszában és az egyéb alkalmazandó uniós harmonizációs jogszabályokban meghatározott követelményeknek, amelyek előírják e jelölés feltüntetését;
25. "forgalomba hozatal utáni nyomonkövetési rendszer": az MI-rendszerek szolgáltatói által végzett valamennyi olyan tevékenység, amelynek célja az általuk forgalomba hozott vagy üzembe helyezett MI-rendszerek használata során szerzett tapasztalatok összegyűjtése és áttekintése annak megállapítása céljából, hogy kell-e haladéktalanul valamilyen korrekciós vagy megelőző intézkedést alkalmazni;
26. "piacfelügyeleti hatóság": az (EU) 2019/1020 rendelet szerinti tevékenységeket végző és intézkedéseket hozó nemzeti hatóság;
27. "harmonizált szabvány": az 1025/2012/EU rendelet 2. cikke 1. pontjának c) alpontjában meghatározott harmonizált szabvány;
28. "közös előírás": az 1025/2012/EU rendelet 2. cikkének 4. pontjában meghatározott műszaki előírások készlete, amely eszközül szolgál az e rendelet szerinti bizonyos követelményeknek való megfeleléshez;
29. "tanítóadatok": olyan adatok, amelyeket egy MI-rendszernek a megtanulható paramétereinek illesztése révén történő tanítására használnak;
30. "validálási adatok": a betanított MI-rendszer értékelésének nyújtására, valamint a nem megtanulható paramétereinek és a tanulási folyamatának beállítására használt adatok, többek között az alulillesztés vagy a túlillesztés megelőzése érdekében;
31. "validálási adatkészlet": különálló adatkészlet vagy a tanítóadat-készlet része, akár rögzített, akár változó felosztás formájában;
32. "tesztadatok": az MI-rendszer független értékelésének nyújtásához használt adatok az említett rendszer elvárt teljesítményének a forgalomba hozatala vagy az üzembe helyezése előtti megerősítése érdekében;
33. "bemeneti adatok": valamely MI-rendszer számára szolgáltatott vagy általa közvetlenül megszerzett adatok, amelyek alapján a rendszer a kimenetet előállítja;
34. "biometrikus adat": egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó, sajátos technikai eljárásokkal nyert személyes adat, ilyen például az arcképmás vagy a daktiloszkópiai adat;
35. "biometrikus azonosítás": az ember fizikai, fiziológiai, viselkedési vagy pszichológiai humán jellemzőinek automatikus felismerése a természetes személy személyazonosságának megállapítása céljából, az említett egyén biometrikus adatainak az adatbázisban tárolt egyének biometrikus adataival való összehasonlítása révén;
36. "biometrikus ellenőrzés": természetes személyek személyazonosságának automatizált, egy az egyhez ellenőrzése -ideértve a hitelesítést is - a biometrikus adataiknak a korábban megadott biometrikus adatokkal való összehasonlítása révén;
37. "a személyes adatok különleges kategóriái": az (EU) 2016/679 rendelet 9. cikkének (1) bekezdésében, az (EU) 2016/680 irányelv 10. cikkében és az (EU) 2018/1725 rendelet 10. cikkének (1) bekezdésében meghatározott személyesadat-kategóriák;
38. "érzékeny operatív adatok": a bűncselekmények megelőzését, felderítését, nyomozását vagy büntetőeljárás alá vonását célzó tevékenységekhez kapcsolódó operatív adatok, amelyek nyilvánosságra hozatala veszélyeztetheti a büntetőjogi eljárások integritását;
39. "érzelemfelismerő rendszer": a természetes személyek érzelmeinek vagy szándékainak a biometrikus adataik alapján történő azonosítására vagy kikövetkeztetésére szolgáló MI-rendszer;
40. "biometrikus kategorizálási rendszer": a természetes személyeknek a biometrikus adataik alapján meghatározott kategóriákba sorolására szolgáló MI-rendszer, kivéve, ha az egy másik kereskedelmi szolgáltatás mellett kiegészítő jellegű, és objektív technikai okokból feltétlenül szükséges;
41. "távoli biometrikus azonosító rendszer": a természetes személyek olyan azonosítására szolgáló MI-rendszer, amelyre az aktív közreműködésük nélkül, jellemzően távolról, egy személy biometrikus adatainak a referencia-adatbázisban szereplő biometrikus adatokkal való összehasonlítása révén kerül sor;
42. "valós idejű távoli biometrikus azonosító rendszer": olyan távoli biometrikus azonosító rendszer, amelyben a biometrikus adatok rögzítése, az összehasonlítás és az azonosítás egyaránt jelentős késleltetés nélkül történik, nemcsak azonnali azonosítást megvalósítva, hanem - a kijátszás elkerülése érdekében - korlátozott rövid késleltetéseket is;
43. "nem valós idejű távoli biometrikus azonosító rendszer": a valós idejű távoli biometrikus azonosító rendszertől eltérő távoli biometrikus azonosító rendszer;
44. "a nyilvánosság számára hozzáférhető hely": olyan köz- vagy magántulajdonban álló fizikai terület, amely meghatározatlan számú természetes személy számára hozzáférhető, függetlenül attól, hogy esetleg alkalmazandók-e bizonyos hozzáférési feltételek, valamint függetlenül a potenciális kapacitási korlátozásoktól;
45. "bűnüldöző hatóság":
a) olyan közigazgatási szerv, amely hatáskörrel rendelkezik a bűncselekmények megelőzésére, nyomozására, felderítésére vagy büntetőeljárás alá vonására, vagy a büntetőjogi szankciók végrehajtására, ideértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és azok megelőzését is; vagy
b) bármely egyéb olyan szerv vagy más jogalany, amely a tagállami jog alapján közfeladatokat lát el és közhatalmi jogosítványokat gyakorol a bűncselekmények megelőzése, nyomozása, felderítése vagy büntetőeljárás alá vonása, vagy büntetőjogi szankciók végrehajtása céljából, ideértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és azok megelőzését is;
46. "bűnüldözés": a bűnüldöző hatóságok által vagy a nevükben folytatott, a bűncselekmények megelőzését, nyomozását, felderítését, büntetőeljárás alá vonását, vagy a büntetőjogi szankciók végrehajtását célzó tevékenységek, ideértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és azok megelőzését is;
47. "MI-hivatal": a Bizottság azon funkciója, amellyel hozzájárul az MI-rendszerek és az általános célú MI-rendszerek, valamint az MI-irányítás végrehajtásához, nyomon követéséhez és felügyeletéhez, amiről a 2024. január 24-i bizottsági határozat rendelkezett; az MI-hivatalra e rendeletben történő hivatkozásokat a Bizottságra való hivatkozásként kell értelmezni;
48. "illetékes nemzeti hatóság": bejelentő hatóság vagy piacfelügyeleti hatóság; az uniós intézmények, ügynökségek, hivatalok és szervek által üzembe helyezett vagy használt MI-rendszerek tekintetében az illetékes nemzeti hatóságokra vagy piacfelügyeleti hatóságokra e rendeletben történő hivatkozásokat az európai adatvédelmi biztosra való hivatkozásként kell értelmezni;
49. "súlyos váratlan esemény": az MI-rendszernél fellépő olyan váratlan esemény vagy hibás működés, amely közvetlenül vagy közvetetten a következők bármelyikéhez vezet:
a) valamely személy halála, vagy valamely személy egészségérnek súlyos károsodása;
b) a kritikus infrastruktúra irányításának vagy üzemeltetésének súlyos és visszafordíthatatlan zavara;
c) az alapvető jogok védelmére irányuló, uniós jog szerinti kötelezettségek megsértése;
d) súlyos vagyoni vagy környezeti károsodás;
50. "személyes adat": az (EU) 2016/679 rendelet 4. cikkének 1. pontjában meghatározott személyes adat;
51. "nem személyes adat": az (EU) 2016/679 rendelet 4. cikkének 1. pontjában meghatározott személyes adatoktól eltérő adat;
52. "profilalkotás": az (EU) 2016/679 rendelet 4. cikkének 4. pontjában meghatározott profilalkotás;
53. "valós körülmények közötti tesztelésre vonatkozó terv": olyan dokumentum, amely ismerteti a valós körülmények közötti tesztelés célkitűzéseit, módszertanát, földrajzi, személyi és időbeli hatályát, nyomon követését, megszervezését és lefolytatását;
54. "tesztkörnyezetre vonatkozó terv": a részt vevő szolgáltató és az illetékes hatóság közötti megállapodáson alapuló dokumentum, amely ismerteti a tesztkörnyezetben végzett tevékenységek célkitűzéseit, feltételeit, időkeretét, módszertanát és követelményeit;
55. "MI szabályozói tesztkörnyezet": valamely illetékes hatóság által létrehozott ellenőrzött keretrendszer, amely lehetőséget kínál az MI-rendszerek szolgáltatói vagy leendő szolgáltatói számára, hogy - szabályozói felügyelet mellett, korlátozott ideig egy tesztkörnyezetre vonatkozó tervet követve - innovatív MI-rendszert fejlesszenek ki, tanítsanak be, validáljanak és teszteljenek, adott esetben valós körülmények között;
56. "MI-jártasság": olyan készségek, ismeretek és értelmezési képességek, amelyek lehetővé teszik a szolgáltatók, az alkalmazók és az érintett személyek számára, hogy - figyelembe véve az e rendelettel összefüggésben fennálló jogaikat és kötelezettségeiket - a megfelelő információk birtokában telepítsenek MI-rendszereket, valamint tudomást szerezzenek az MI lehetőségeiről és kockázatairól, és azon lehetséges károkról, amelyet az MI okozhat;
57. "valós körülmények közötti tesztelés": egy MI-rendszernek a rendeltetése tekintetében - valós körülmények között laboratóriumon vagy más szimulált környezeten kívül - végzett ideiglenes tesztelése, megbízható és stabil adatok gyűjtése, valamint annak értékelése és ellenőrzése céljából, hogy az MI-rendszer megfelel-e e rendelet követelményeinek, és ez nem minősül az MI-rendszer e rendelet értelmében vett forgalomba hozatalának vagy üzembe helyezésének, feltéve, hogy az 57. vagy a 60. cikkben megállapított valamennyi feltétel teljesül;
58. "vizsgálati alany": a valós körülmények közötti tesztelés céljára olyan természetes személy, aki részt vesz valós körülmények közötti tesztelésben;
59. "tájékoztatáson alapuló hozzájárulás": a vizsgálati alany által szabad akaratból adott, konkrét, egyértelmű és önkéntes kifejezése annak, hogy hajlandó részt venni egy adott, valós körülmények közötti tesztelésben, miután tájékoztatást kapott a tesztelés valamennyi olyan szempontjáról, amely a vizsgálati alanynak a részvételre vonatkozó döntése szempontjából releváns;
60. "deepfake": az MI által generált vagy manipulált kép, audio- vagy videotartalom, amely hasonlít létező személyekre, tárgyakra, helyekre, entitásokra vagy eseményekre, és amely egy személy számára megtévesztő módon autentikusnak vagy valóságosnak tűnne;
61. "kiterjedt jogsértés": bármely, az egyének érdekét védő uniós joggal ellentétes cselekmény vagy mulasztás, amely:
a) sértette vagy valószínűleg sérti olyan egyének kollektív érdekeit, akik azon tagállamtól eltérő legalább két tagállamban rendelkeznek lakóhellyel, amelyben:
i. a cselekmény vagy a mulasztás keletkezett vagy sorra került;
ii. az érintett szolgáltató vagy adott esetben a meghatalmazott képviselője tartózkodik vagy letelepedett; vagy
iii. az alkalmazó letelepedett, ha a jogsértést az alkalmazó követi el;
b) kárt okozott, okoz vagy okozhat egyének kollektív érdekeire nézve, és közös jellemzőkkel bír - többek között ugyanazon jogellenes gyakorlatot valósítja meg, vagy ugyanazon érdeket sérti -, és amelyet egy időben követ el ugyanazon gazdasági szereplő legalább három tagállamban;
62. "kritikus infrastruktúra": az (EU) 2022/2557 irányelv 2. cikkének 4. pontjában meghatározott kritikus infrastruktúra;
63. "általános célú MI-modell": olyan MI-modell - ideértve azt is, amikor az ilyen MI-modell tanítása nagy adatmennyiséggel, nagy léptékű önfelügyelet mellett történik -, amely jelentős általánosságot mutat, és forgalomba hozatalának módjától függetlenül, különféle feladatok széles körének elvégzésére képes, valamint többféle downstream rendszerbe vagy alkalmazásba integrálható, azon MI-modellek kivételével, amelyeket a forgalomba hozatalukat megelőzően kutatási, fejlesztési vagy prototípus-alkotási tevékenységekre használnak;
64. "nagy hatású képességek": olyan képességek, amelyek megfelelnek a legfejlettebb általános célú MI-modellekben rögzített képességeknek, vagy meghaladják azokat;
65. "rendszerszintű kockázat": az általános célú MI-modellek nagy hatású képességeire jellemző kockázat, amely - a modellek jelentős elterjedtsége miatt, vagy a népegészségre, a biztonságra, a közbiztonságra, az alapvető jogokra vagy a társadalom egészére gyakorolt tényleges vagy észszerűen előrelátható negatív hatások révén - olyan jelentős hatást gyakorol az uniós piacra, amely nagy léptékben továbbterjedhet az értékláncban;
66. "általános célú MI-rendszer": általános célú MI-modellen alapuló MI-rendszer, amely - mind közvetlen felhasználás, mind más MI-rendszerekbe való integráció céljából - többféle célt képes szolgálni;
67. "lebegőpontos művelet": lebegőpontos számokkal végzett matematikai művelet vagy feladat, amely számok a valós számok azon alhalmaza, amelyeket - jellemzően számítógépen - egy rögzített pontosságú egész számnak és egy rögzített alap egész számú hatványának a szorzataként ábrázolnak;
68. "downstream szolgáltató": olyan MI-rendszer - ideértve az általános célú MI-rendszert is - szolgáltatója, amelybe MI-modellt integráltak, függetlenül attól, hogy a szolgáltató által biztosított, vertikálisan integrált MI-modellről vagy egy másik szervezet által szerződéses viszonyok alapján biztosított MI-modellről van-e szó.
4. cikk
MI-jártasság
Az MI-rendszerek szolgáltatói és alkalmazói intézkedéseket hoznak annak érdekében, hogy a tőlük telhető legnagyobb mértékben biztosítsák személyzetük, valamint a nevükben az MI-rendszerek működtetésével és használatával foglalkozó bármely más személy mesterséges intelligencia terén szerzett megfelelő szintű MI-jártasságát, figyelembe véve szakmai ismereteiket, tapasztalatukat, végzettségüket és képzettségüket, valamint azon körülményeket, amelyek között az MI-rendszereket használni fogják, és figyelembe véve azon személyeket vagy azon személyek csoportjait, akik tekintetében az MI-rendszereket használni fogják.
II. FEJEZET
TILTOTT MI-GYAKORLATOK
5. cikk
Tiltott MI-gyakorlatok
(1) Tilosak a következő MI-gyakorlatok:
a) olyan MI-rendszerek forgalomba hozatala, üzembe helyezése vagy használata, amelyek szubliminális technikákat alkalmaznak az adott személy tudatán kívül, vagy célzottan manipulatív vagy megtévesztő technikákat alkalmaznak azzal a céllal vagy olyan hatás érdekében, hogy lényegesen torzítsák egy személy vagy személyek egy csoportjának magatartását azáltal, hogy jelentősen gyengítik a megalapozott döntéshozatalra való képességüket, azt eredményezve, hogy olyan döntést hozzanak, amelyet egyébként nem hoztak volna meg, és oly módon, amely az említett személynek, egy másik személynek vagy személyek egy csoportjának jelentős károsodást okoz vagy ésszerű valószínűséggel okozhat;
b) olyan MI-rendszerek forgalomba hozatala, üzembe helyezése vagy használata, amelyek egy természetes személynek vagy a személyek egy meghatározott csoportjának az életkor, fogyatékosság, illetve egyedi szociális vagy gazdasági helyzet miatt fennálló valamilyen sebezhetőségét kihasználják azzal a céllal vagy hatással, hogy lényegesen torzítsák az említett személy vagy az említett csoporthoz tartozó valamely személy magatartását oly módon, amely az említett személynek vagy egy másik személynek jelentős kárt okoz vagy észszerű valószínűséggel okozhat;
c) MI-rendszerek forgalomba hozatala, üzembe helyezése vagy használata természetes személyek vagy személyek csoportjai értékelésének vagy osztályozásának céljából egy bizonyos időszakon keresztül, közösségi magatartásuk, illetve ismert, kikövetkeztetett vagy előre jelzett személyes tulajdonságaik vagy személyiségjegyeik alapján, oly módon, hogy a társadalmi pontszám a következő helyzetek egyikéhez vagy mindkettőhöz vezet:
i. bizonyos természetes személyekkel vagy személyek csoportjaival szembeni hátrányos vagy kedvezőtlen bánásmód olyan szociális kontextusokban, amelyek nem függenek össze azokkal a kontextusokkal, amelyek között az adatokat eredetileg létrehozták vagy gyűjtötték;
ii. bizonyos természetes személyekkel vagy személyek csoportjával szembeni olyan hátrányos vagy kedvezőtlen bánásmód, amely indokolatlan vagy aránytalan közösségi magatartásukhoz vagy annak súlyosságához képest;
d) olyan MI-rendszer forgalomba hozatala, e konkrét célra történő üzembe helyezése vagy használata, amely természetes személyek kockázatértékelését végzi annak érdekében, hogy - kizárólag a természetes személyekre vonatkozó profilalkotás vagy személyiségjegyeik és tulajdonságaik értékelése alapján - felmérje vagy előre jelezze annak kockázatát, hogy egy adott természetes személy bűncselekményt követ el; ez a tilalom nem alkalmazandó azon MI-rendszerekre, amelyek a személyek bűncselekményben való részvételének emberi értékelését támogatják, amely értékelés alapjául már rendelkezésre állnak a bűnözői tevékenységhez közvetlenül kapcsolódó, objektív és ellenőrizhető tények;
e) olyan MI-rendszerek forgalomba hozatala, e konkrét célra történő üzembe helyezése vagy használata, amelyek az arcképek internetről vagy zártláncú televízió-felvételekből való, nem célzott lekérdezésével arcfelismerő adatbázisokat hoznak létre vagy ilyeneket bővítenek;
f) a természetes személyek érzelmeiből következtetést levonó MI-rendszerek forgalomba hozatala, e konkrét célra történő üzembe helyezése, illetve használata a munkahelyek és az oktatási intézmények területén, kivéve amennyiben az MI-rendszer használata, üzembe helyezése vagy forgalomba hozatala orvosi vagy biztonsági okokból történik;
g) olyan biometrikus kategorizálási rendszerek forgalomba hozatala, e konkrét célra történő üzembe helyezése, illetve használata, amelyek természetes személyeket biometrikus adataik alapján egyénileg kategorizálnak, hogy ezáltal levezessék vagy kikövetkeztessék faji hovatartozásukat, politikai véleményüket, szakszervezeti tagságukat, vallási vagy világnézeti meggyőződésüket, szexuális életüket vagy szexuális irányultságukat; ez a tilalom nem terjed ki a jogszerűen megszerzett biometrikus adatkészletek - például képek - biometrikus adatok szerint történő jogszerű címkézésére vagy szűrésére, illetve a biometrikus adatoknak a bűnüldözés területén való kategorizálására;
h) "valós idejű" távoli biometrikus azonosító rendszerek használata a nyilvánosság számára hozzáférhető helyeken bűnüldözési célokból, kivéve, ha és amennyiben az ilyen használat a következő célok egyikéhez feltétlenül szükséges:
i. emberrablás, emberkereskedelem vagy szexuális kizsákmányolás konkrét áldozatainak célzott felkutatása, valamint az eltűnt személyek utáni kutatás;
ii. természetes személyek életét vagy fizikai biztonságát fenyegető konkrét, jelentős és közvetlen veszély, illetve terrortámadás tényleges és valós vagy tényleges és előre látható veszélyének megelőzése;
iii. bűncselekmények gyanúsítottjainak lokalizálása vagy azonosítása nyomozás vagy büntetőeljárás lefolytatása vagy büntetőjogi szankció végrehajtása céljából olyan, a II. mellékletben említett bűncselekmény miatt, amelynek esetében az érintett tagállamban a büntetési tétel felső határa legalább négyévi szabadságvesztés vagy szabadságelvonással járó intézkedés.
Az első albekezdés h) pontja nem érinti az (EU) 2016/679 rendelet 9. cikkét a biometrikus adatoknak a bűnüldözéstől eltérő célokból történő kezelése tekintetében.
(2) A "valós idejű" távoli biometrikus azonosító rendszerek nyilvánosság számára hozzáférhető helyeken, bűnüldözés céljából, az (1) bekezdés első albekezdésének h) pontjában említett célok bármelyike tekintetében történő használata az említett pontban meghatározott célokból, csak a konkrét célszemély személyazonosságának megerősítése érdekében indítható el, és annak során figyelembe kell venni a következő elemeket:
a) a lehetséges használatot eredményező helyzet jellege, különösen azon kár súlyossága, valószínűsége és mértéke, amely a rendszer használatának elmaradásakor keletkezne;
b) a rendszer használatának valamennyi érintett személy jogaira és szabadságaira gyakorolt következményei, különösen e következmények súlyossága, valószínűsége és mértéke.
Emellett a "valós idejű" távoli biometrikus azonosító rendszerek nyilvánosság számára hozzáférhető helyeken, bűnüldözés céljából, az e cikk (1) bekezdése első albekezdésének h) pontjában említett célok bármelyike tekintetében történő használatának meg kell felelnie - az annak használatát engedélyező nemzeti joggal összhangban - a használattal kapcsolatos szükséges és arányos biztosítékoknak és feltételeknek, különösen az időbeli, földrajzi és személyi korlátozások tekintetében. A valós idejű távoli biometrikus azonosító rendszerek nyilvánosság számára hozzáférhető helyeken történő használata csak akkor engedélyezhető, ha a bűnüldöző hatóság - a 27. cikk rendelkezéseinek megfelelően - elvégezte az alapvetőjogi hatásvizsgálatot, és - a 49. cikkel összhangban - nyilvántartásba vette a rendszert az uniós adatbázisban. Kellően indokolt sürgős esetekben azonban az ilyen rendszerek használata az uniós adatbázisban történő regisztráció nélkül is elindítható, feltéve, hogy az ilyen regisztrációra indokolatlan késedelem nélkül sor kerül.
(3) Az (1) bekezdés első albekezdésének h) pontja és a (2) bekezdés alkalmazása céljából a "valós idejű" távoli biometrikus azonosító rendszer nyilvánosság számára hozzáférhető helyeken, bűnüldözési célokra történő minden használata a használat helye szerinti tagállam igazságügyi hatósága vagy független közigazgatási hatósága - amelynek határozata kötelező erejű - által kiadott előzetes engedélyhez kötött, amelyet indokolt megkeresésre, a (5) bekezdésben említett nemzeti jogszabályok részletes szabályaival összhangban bocsátanak ki. Kellően indokolt sürgős esetben azonban a rendszer használata engedély nélkül is megkezdhető, feltéve, hogy az ilyen engedély megkérésére indokolatlan késedelem nélkül, legkésőbb 24 órán belül sor kerül. Ha az ilyen engedélyt elutasítják, a használatot azonnali hatállyal le kell állítani, valamint az említett használat valamennyi eredményét és kimenetét azonnal meg kell semmisíteni, és törölni kell.
Az illetékes igazságügyi hatóság vagy olyan független közigazgatási hatóság, amelynek határozata kötelező erejű, csak akkor adhatja meg az engedélyt, ha az elé terjesztett objektív bizonyítékok vagy egyértelmű jelzések alapján meggyőződött arról, hogy az érintett "valós idejű" távoli biometrikus azonosító rendszer használata az (1) bekezdés első albekezdésének h) pontjában meghatározott, a megkeresésben azonosított célok valamelyikének eléréséhez szükséges és azzal arányos, továbbá különösen, hogy az időtartam, valamint a földrajzi és személyi hatály tekintetében a feltétlenül szükséges mértékre korlátozódik. A megkeresésről való döntés során az említett hatóságnak figyelembe kell vennie a (2) bekezdésben említett tényezőket. Kizárólag a "valós idejű" távoli biometrikus azonosító rendszer kimenete alapján nem hozható olyan döntés, amely egy személyre nézve kedvezőtlen joghatással jár.
(4) A (3) bekezdés sérelme nélkül, a "valós idejű" biometrikus azonosító rendszerek nyilvánosság számára hozzáférhető helyeken, bűnüldözési célból történő használatáról minden esetben - az (5) bekezdésben említett nemzeti szabályokkal összhangban - értesíteni kell az érintett piacfelügyeleti hatóságot és a nemzeti adatvédelmi hatóságot. Az értesítésnek tartalmaznia kell legalább a (6) bekezdésben meghatározott információkat, és nem tartalmazhat érzékeny operatív adatokat.
(5) A tagállamok dönthetnek úgy, hogy az (1) bekezdés első albekezdésének h) pontjában, valamint a (2) és (3) bekezdésben felsorolt korlátokon belül és feltételek mellett lehetővé teszik a "valós idejű" távoli biometrikus azonosító rendszerek nyilvánosság számára hozzáférhető helyeken, bűnüldözési célokból történő használatának teljes vagy részleges engedélyezését. Az érintett tagállamok a nemzeti jogukban meghatározzák a (3) bekezdésben említett engedélyek kérelmezésére, kiadására és felhasználására, valamint az azokkal kapcsolatos felügyeletre és jelentéstételre vonatkozó szükséges részletes szabályokat. Ezekben a szabályokban azt is meg kell határozni, hogy az (1) bekezdés első albekezdésének h) pontjában felsorolt célok közül melyek tekintetében, valamint az említett bekezdés h) pontjának iii. alpontjában említett bűncselekmények közül melyek tekintetében engedélyezhető az illetékes hatóságok számára az említett rendszerek bűnüldözési célú használata. A tagállamok az említett szabályokról legkésőbb azok elfogadása után 30 nappal értesítik a Bizottságot. A tagállamok az uniós joggal összhangban szigorúbb jogszabályokat is bevezethetnek a távoli biometrikus azonosító rendszerek használatára vonatkozóan.
(6) Azon tagállami nemzeti piacfelügyeleti hatóságok és nemzeti adatvédelmi hatóságok, amelyek a (4) bekezdésnek megfelelően értesítést kaptak a "valós idejű" távoli biometrikus azonosító rendszerek nyilvánosság számára hozzáférhető helyeken, bűnüldözési célból történő használatáról, éves jelentéseket nyújtanak be a Bizottságnak az ilyen használatról. E célból a Bizottság sablont bocsát a tagállamok és a nemzeti piacfelügyeleti és adatvédelmi hatóságok rendelkezésére, amely tartalmazza az azon határozatok számára, valamint azok eredményére vonatkozó információkat, amelyeket - a (3) bekezdés szerinti, engedély iránti megkeresésre - az illetékes igazságügyi hatóságok vagy olyan független közigazgatási hatóság hozott, amelynek határozata kötelező erejű.
(7) A Bizottság a (6) bekezdésben említett éves jelentések nyomán a tagállamokban összesített adatok alapján éves jelentéseket tesz közzé a valós idejű távoli biometrikus azonosító rendszerek nyilvánosság számára hozzáférhető helyeken történő, bűnüldözési célú használatáról. Az említett éves jelentések nem tartalmazhatják a kapcsolódó bűnüldözési tevékenységek érzékeny operatív adatait.
(8) Ez a cikk nem érinti az abban az esetben alkalmazandó tilalmakat, ha valamely MI-gyakorlat más uniós jogot sért.
III. FEJEZET
NAGY KOCKÁZATÚ MI-RENDSZEREK
1. SZAKASZ
MI-rendszerek nagy kockázatúként való besorolása
6. cikk
A nagy kockázatú MI-rendszerekre vonatkozó besorolási szabályok
(1) Tekintet nélkül arra, hogy egy MI-rendszert az a) és b) pontban említett termékektől függetlenül hozzák-e forgalomba vagy helyezik-e üzembe, az említett MI-rendszer nagy kockázatúnak minősül, ha mindkét következő feltétel teljesül:
a) az MI-rendszert az I. mellékletben felsorolt uniós harmonizációs jogszabályok hatálya alá tartozó termék biztonsági alkotórészeként kívánják használni, vagy az MI-rendszer önmagában ilyen termék;
b) azon terméket, amelynek biztonsági alkatórésze az a) pont alapján az MI-rendszer, vagy magát az MI-rendszert mint terméket harmadik fél által végzett megfelelőségértékelésnek kell alávetni a terméknek az I. mellékletben felsorolt uniós harmonizációs jogszabályok értelmében való forgalomba hozatala vagy üzembe helyezése érdekében.
(2) Az (1) bekezdésben említett nagy kockázatú MI-rendszerek mellett a III. mellékletben említett MI-rendszereket nagy kockázatúnak kell tekinteni.
(3) A (2) bekezdéstől eltérve, valamely, a III. mellékletben hivatkozott MI-rendszer nem tekinthető nagy kockázatúnak, amennyiben nem jelent jelentős károkozó kockázatot természetes személyek egészségére, biztonságára vagy alapvető jogaira nézve, többek között azáltal, hogy nem befolyásolja lényegesen a döntéshozatal kimenetelét.
Az első albekezdés alkalmazandó, amennyiben a következő feltételek bármelyike teljesül:
a) az MI-rendszer rendeltetése jól körülhatárolt eljárási feladat ellátása;
b) az MI-rendszer rendeltetése egy korábban elvégzett emberi tevékenység eredményének a javítása;
c) az MI-rendszer rendeltetése döntéshozatali minták vagy korábbi döntéshozatali mintáktól való eltérések észlelése, és nem célja a korábban elvégzett emberi értékelés megfelelő emberi felülvizsgálat nélküli kiváltása vagy befolyásolása; vagy
d) az MI-rendszer rendeltetése egy, a III. mellékletben felsorolt felhasználási esetek céljainak szempontjából releváns értékeléshez kapcsolódó előkészítő feladat elvégzése.
Az első albekezdés ellenére egy, a III. mellékletben említett MI-rendszert mindig nagy kockázatúnak kell tekinteni, ha az MI-rendszer természetes személyekre vonatkozó profilalkotást végez.
(4) Azon szolgáltatónak, amely úgy ítéli meg, hogy valamely, a III. mellékletben említett MI-rendszer nem nagy kockázatú, az adott rendszer forgalomba hozatala vagy üzembe helyezése előtt dokumentálnia kell értékelését. Az ilyen szolgáltatóra a 49. cikk (2) bekezdésében meghatározott regisztrációs kötelezettség vonatkozik. Az illetékes nemzeti hatóságok kérésére a szolgáltatónak be kell nyújtania az értékelés dokumentációját.
(5) A Bizottság a Mesterséges Intelligenciával Foglalkozó Európai Testülettel (a továbbiakban: a Testület) folytatott konzultációt követően legkésőbb 2026. február 2-ig iránymutatásokat nyújt, amelyekben meghatározza e cikknek a 96. cikkel összhangban történő gyakorlati végrehajtását, valamint a nagy kockázatú és a nem nagy kockázatú MI-rendszerek felhasználási eseteire vonatkozó gyakorlati példák átfogó listáját.
(6) A Bizottság felhatalmazást kap arra, hogy a 97. cikknek megfelelően felhatalmazáson alapuló jogi aktusokat fogadjon el e cikk (3) bekezdése második albekezdésének módosítása céljából, új feltételekkel egészítve ki az ott megállapított feltételeket, vagy módosítva azokat, amennyiben konkrét és megbízható bizonyíték áll rendelkezésre a III. melléklet hatálya alá tartozó, de a természetes személyek egészségére, biztonságára vagy alapvető jogaira nézve károkozó kockázatot nem jelentő MI-rendszerek meglétére vonatkozóan.
(7) A Bizottság a 97. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogad el e cikk (3) bekezdése második albekezdésének módosítása céljából az ott meghatározott feltételek bármelyikének törlésével, amennyiben konkrét és megbízható bizonyítékok állnak rendelkezésre arra vonatkozóan, hogy ez szükséges az egészség, a biztonság és az alapvető jogok védelme e rendeletben előírt szintjének fenntartásához.
(8) A (3) bekezdés második albekezdésében meghatározott feltételek - e cikk (6) vagy (7) bekezdésével összhangban elfogadott - bármely módosítása nem csökkentheti az egészség, a biztonság és az alapvető jogok védelmének e rendelet által előírt általános szintjét, továbbá biztosítania kell a 7. cikk (1) bekezdése alapján elfogadott, felhatalmazáson alapuló jogi aktusokkal való összhangot, és figyelembe kell vennie a piaci és technológiai fejleményeket.
7. cikk
A III. melléklet módosításai
(1) A Bizottság felhatalmazást kap arra, hogy a 97. cikknek megfelelően felhatalmazáson alapuló jogi aktusokat fogadjon el abból a célból, hogy módosítsa a III. mellékletet a nagy kockázatú MI-rendszerek felhasználási eseteinek hozzáadásával vagy módosításával, amennyiben mindkét következő feltétel teljesül:
a) az MI-rendszereket a III. mellékletben felsorolt területek valamelyikén kívánják használni;
b) az MI-rendszerek az egészségre és a biztonságra nézve károsodás, vagy az alapvető jogokra nézve kedvezőtlen hatás kockázatát jelentik, és az említett kockázat megegyezik a károsodás vagy a kedvezőtlen hatás azon kockázatával, amelyet a III. mellékletben már említett nagy kockázatú MI-rendszerek jelentenek, vagy annál nagyobb.
(2) Az (1) bekezdés b) pontja szerinti feltétel értékelésekor a Bizottság a következő kritériumokat veszi figyelembe:
a) az MI-rendszer rendeltetése;
b) azon mérték, amelyben az MI-rendszert használták vagy valószínűleg használják;
c) az MI-rendszer által kezelt és felhasznált adatok jellege és mennyisége, különös tekintettel arra, hogy a személyes adatok különleges kategóriáit kezeli-e;
d) az MI-rendszer autonóm cselekvésének mértéke és az emberi beavatkozás lehetősége potenciálisan kárt okozó döntés vagy ajánlások felülírása érdekében;
e) az, hogy egy MI-rendszer használata milyen mértékben okozott már kárt az egészségben és a biztonságban, gyakorolt kedvezőtlen hatást alapvető jogokra, vagy adott okot jelentős aggodalomra az ilyen kár vagy kedvezőtlen hatás valószínűségével kapcsolatban, amint azt például az illetékes nemzeti hatóságokhoz benyújtott jelentések vagy dokumentált állítások, vagy adott esetben egyéb jelentések bizonyítják;
f) az ilyen kár vagy kedvezőtlen hatás lehetséges mértéke, különösen annak intenzitása tekintetében és azt illetően, hogy érinthet-e több személyt vagy aránytalanul érintheti-e személyek egy adott csoportját;
g) az, hogy a potenciálisan kárt szenvedő vagy kedvezőtlen hatásnak kitett személyek milyen mértékben függnek az MI-rendszerrel előállított kimenettől, különösen amiatt, hogy gyakorlati vagy jogi okokból észszerűen nem lehetséges a kimeneten kívül maradni;
h) az, hogy az erőviszonyok milyen mértékben kiegyensúlyozatlanok, vagy a potenciálisan károsult vagy kedvezőtlen hatásnak kitett személyek milyen mértékben vannak kiszolgáltatott helyzetben az MI-rendszer alkalmazójával szemben, különösen a státusz, a hatalom, a tudás, a gazdasági vagy társadalmi körülmények vagy az életkor miatt;
i) az, hogy az MI-rendszer használatával előállított kimenet mennyire könnyen korrigálható vagy visszafordítható - figyelembe véve a kimenet korrigálása vagy a visszafordítása céljából rendelkezésre álló műszaki megoldásokat -, ahol is az egészségre, a biztonságra vagy az alapvető jogokra kedvezőtlen hatást gyakorló kimenetek nem tekinthetők könnyen korrigálhatónak vagy visszafordíthatónak;
j) az MI-rendszer bevezetéséből származó előnyök nagyságrendje és valószínűsége az egyének, csoportok vagy a társadalom egésze számára, beleértve a termékbiztonság lehetséges javulását;
k) az, hogy a meglévő uniós jog milyen mértékben rendelkezik a következőkről:
i. hatékony jogorvoslati intézkedések az MI-rendszerek jelentette kockázatokkal kapcsolatban, a kártérítési keresetek kizárásával;
ii. hatékony intézkedések az említett kockázatok megelőzésére vagy jelentős minimalizálására.
(3) A Bizottság felhatalmazást kap arra, hogy a 97. cikknek megfelelően felhatalmazáson alapuló jogi aktusokat fogadjon el abból a célból, hogy a III. mellékletben szereplő jegyzéket nagy kockázatú MI-rendszerek törlésével módosítsa, amennyiben mindkét következő feltétel teljesül:
a) az érintett nagy kockázatú MI-rendszer már nem jelent jelentős kockázatot az alapvető jogokra, az egészségre vagy a biztonságra nézve, figyelembe véve a (2) bekezdésben felsorolt kritériumokat;
b) a törlés nem csökkenti az egészség, a biztonság és az alapvető jogok uniós jog szerinti védelmének általános szintjét.
2. SZAKASZ
A nagy kockázatú MI-rendszerekre vonatkozó követelmények
8. cikk
A követelményeknek való megfelelés
(1) A nagy kockázatú MI-rendszereknek meg kell felelniük az e szakaszban meghatározott követelményeknek, figyelembe véve a rendeltetésüket, valamint az MI-vel és az MI-vonatkozású technológiákkal kapcsolatos technika általánosan elfogadott, mindenkori állását. Az említett követelményeknek való megfelelés biztosítása során figyelembe kell venni a 9. cikkben említett kockázatkezelési rendszert.
(2) Amennyiben egy termék olyan MI-rendszert tartalmaz, amelyre e rendelet követelményei, valamint az I. melléklet A. szakaszában felsorolt uniós harmonizációs jogszabályok követelményei alkalmazandók, a szolgáltatók felelősek annak biztosításáért, hogy termékük teljes mértékben megfeleljen az alkalmazandó uniós harmonizációs jogszabályok szerinti valamennyi alkalmazandó követelménynek. Annak biztosítása érdekében, hogy az (1) bekezdésben említett nagy kockázatú MI-rendszerek megfeleljenek az e szakaszban meghatározott követelményeknek, valamint a következetesség biztosítása, az átfedések elkerülése és a további terhek minimalizálása érdekében a szolgáltatók dönthetnek úgy, hogy adott esetben a termékükkel kapcsolatban általuk rendelkezésre bocsátott szükséges tesztelési és jelentéstételi folyamatokat, információkat és dokumentációt integrálják a már meglévő, az I. melléklet A. szakaszában felsorolt uniós harmonizációs jogszabályok által előírt dokumentációba és eljárásokba.
9. cikk
Kockázatkezelési rendszer
(1) A nagy kockázatú MI-rendszerek tekintetében kockázatkezelési rendszert kell létrehozni, bevezetni, dokumentálni és fenntartani.
(2) A kockázatkezelési rendszer alatt olyan megszakítás nélkül végzett iteratív folyamatot kell érteni, amelyet a nagy kockázatú MI-rendszer egész életciklusára terveztek és működtetnek, és amely rendszeres és szisztematikus felülvizsgálatot és aktualizálást igényel. A folyamatnak a következő lépéseket kell tartalmaznia:
a) azon ismert, valamint észszerűen előre látható kockázatok azonosítása és elemzése, amelyeket a nagy kockázatú MI-rendszer rendeltetésszerű használata esetén az egészségre, a biztonságra és az alapvető jogokra jelenthet;
b) a nagy kockázatú MI-rendszer rendeltetésszerű használata, valamint észszerűen előre látható rendellenes használata esetén felmerülő kockázatok becslése és értékelése;
c) egyéb esetlegesen felmerülő kockázatok értékelése a 72. cikkben említett forgalomba hozatal utáni nyomonkövetési rendszerből gyűjtött adatok elemzése alapján;
d) az a) pont alapján azonosított kockázatok kezelésére irányuló megfelelő és célzott kockázatkezelési intézkedések elfogadása.
(3) Az e cikkben említett kockázatok alatt csak azok értendők, amelyek a nagy kockázatú MI-rendszer fejlesztése vagy tervezése, vagy a megfelelő műszaki információk biztosítása révén észszerűen enyhíthetők vagy kiküszöbölhetők.
(4) A (2) bekezdés d) pontjában említett kockázatkezelési intézkedések tekintetében kellően figyelembe kell venni az e szakaszban meghatározott követelmények együttes alkalmazásából eredő hatásokat és lehetséges kölcsönhatást a kockázatok hatékonyabb minimalizálása érdekében, egyúttal megfelelő egyensúlyt elérve az említett követelmények teljesítését célzó intézkedések végrehajtása során.
(5) A (2) bekezdés d) pontjában említett kockázatkezelési intézkedéseket úgy kell kialakítani, hogy az egyes veszélyekhez kapcsolódó releváns fennmaradó kockázatot, valamint a nagy kockázatú MI-rendszerek teljes fennmaradó kockázatát elfogadhatónak ítéljék.
A legmegfelelőbb kockázatkezelési intézkedések meghatározásakor a következőket kell biztosítani:
a) a (2) bekezdés alapján azonosított és értékelt kockázatok megszüntetése vagy csökkentése - amennyiben műszakilag megvalósítható - a nagy kockázatú MI-rendszer megfelelő tervezése és fejlesztése révén;
b) adott esetben a nem megszüntethető kockázatok kezelésére szolgáló kockázatcsökkentő és ellenőrző intézkedések végrehajtása;
c) a 13. cikk alapján előírt tájékoztatás, valamint adott esetben képzés nyújtása az alkalmazók számára.
A nagy kockázatú MI-rendszer használatával kapcsolatos kockázatok megszüntetése vagy csökkentése céljából kellő figyelmet kell fordítani az alkalmazó által elvárt műszaki ismeretekre, tapasztalatokra, oktatásra és képzésre, valamint azon körülményekre, amelyek között a rendszert feltételezhetően használni kívánják.
(6) A nagy kockázatú MI-rendszereket tesztelni kell a legmegfelelőbb és célzott kockázatkezelési intézkedések azonosítása céljából. A tesztelés biztosítja, hogy a nagy kockázatú MI-rendszerek következetesen működjenek a rendeltetésüknek megfelelően, és megfeleljenek az e szakaszban meghatározott követelményeknek.
(7) A tesztelési eljárások a 60. cikkel összhangban valós körülmények közötti tesztelést is magukban foglalhatnak.
(8) A nagy kockázatú MI-rendszerek tesztelését adott esetben a fejlesztési folyamat során bármikor, de mindenképpen a forgalomba hozatalt vagy az üzembe helyezést megelőzően kell elvégezni. A tesztelést a nagy kockázatú MI-rendszer rendeltetése szempontjából megfelelő, előzetesen meghatározott mérőszámok és valószínűségi küszöbértékek alapján kell elvégezni.
(9) Az (1)-(7) bekezdésben meghatározott kockázatkezelési rendszer végrehajtása során a szolgáltatóknak megfontolás tárgyává kell tenniük azt, hogy a nagy kockázatú MI-rendszer - a rendeltetése szempontjából - valószínűleg kedvezőtlen hatást gyakorol-e a 18 év alatti személyekre és adott esetben más kiszolgáltatott csoportokra.
(10) A nagy kockázatú MI-rendszerek azon szolgáltatói esetében, amelyek az uniós jog egyéb vonatkozó rendelkezéseinek értelmében belső kockázatkezelési folyamatokra vonatkozó követelmények hatálya alá tartoznak, az (1)-(9) bekezdésben leírt szempontok az említett jog alapján létrehozott kockázatkezelési eljárások részét képezhetik vagy azokhoz társulhatnak.
10. cikk
Adatok és adatkormányzás
(1) A modellek adatokkal való tanítását magukban foglaló technikákat használó nagy kockázatú MI-rendszereket olyan tanító-, validálási és tesztadatkészletek alapján kell fejleszteni, amelyek - az ilyen adatkészletek használatakor - megfelelnek a (2)-(5) bekezdésben említett minőségi kritériumoknak.
(2) A tanító-, a validálási és a tesztadatkészleteket a nagy kockázatú MI-rendszer rendeltetésének megfelelő adatkormányzási és adatgazdálkodási gyakorlatoknak kell alávetni. Ezek a gyakorlatok különösen a következőket érintik:
a) a vonatkozó tervezési döntések;
b) az adatgyűjtési eljárások és az adatok eredete, valamint személyes adatok esetében az adatgyűjtés eredeti célja;
c) a releváns adatelőkészítési műveletek, mint például annotálás, címkézés, tisztítás, frissítés, gazdagítás és összesítés;
d) feltételezések megfogalmazása, különös tekintettel azon információkra, amelyeket az adatoknak az elvárás szerint mérniük kell és meg kell jeleníteniük;
e) a szükséges adatkészletek rendelkezésre állásának, mennyiségének és alkalmasságának értékelése;
f) az esetleges olyan torzítások vizsgálata, amelyek valószínűleg hatnak a személyek egészségére és biztonságára, negatív hatást gyakorolnak az alapvető jogokra, vagy az uniós jog által tiltott megkülönböztetéshez vezetnek, különösen akkor, ha az adatok kimenetei befolyásolják a jövőbeli műveletek bemeneteit;
g) az f) ponttal összhangban azonosított esetleges torzítások felderítését, megelőzését és enyhítését célzó megfelelő intézkedések;
h) az e rendeletnek való megfelelést akadályozó releváns adathiányok vagy hiányosságok azonosítása, valamint e hiányok és hiányosságok kezelésének módja.
(3) A tanító-, a validálási és a tesztadatkészleteknek relevánsnak, kellően reprezentatívnak, valamint - a rendeltetés szempontjából - a lehető legnagyobb mértékben hibáktól mentesnek és teljesnek kell lenniük. Rendelkezniük kell a megfelelő statisztikai tulajdonságokkal is, többek között adott esetben azon személyek vagy személyek csoportjai tekintetében, akikkel vagy amelyekkel kapcsolatosan a nagy kockázatú MI-rendszert használni kívánják. Az említett adatkészletek e jellemzői teljesíthetők az egyes adatkészletek szintjén vagy azok kombinációjának a szintjén.
(4) Az adatkészleteknek - a rendeltetéstől függően szükséges mértékben - figyelembe kell venniük azon jellemzőket vagy elemeket, amelyek azon sajátos földrajzi, kontextuális, magatartási vagy funkcionális környezethez kapcsolódnak, amelyben a nagy kockázatú MI-rendszert használni kívánják.
(5) A nagy kockázatú MI-rendszerekkel kapcsolatos torzítás észlelésének és korrekciójának biztosításához feltétlenül szükséges mértékben - e cikk (2) bekezdésének f) és g) pontjával összhangban - az ilyen rendszerek szolgáltatói kivételesen kezelhetik a személyes adatok különleges kategóriáit, figyelemmel a természetes személyek alapvető jogaira és szabadságaira vonatkozó megfelelő biztosítékokra. Ahhoz, hogy az ilyen feldolgozás megtörténhessen, az (EU) 2016/679 és az (EU) 2018/1725 rendeletben, valamint az (EU) 2016/680 irányelvben meghatározott rendelkezéseken túlmenően, a következő feltételek mindegyikének teljesülnie kell:
a) a torzítás észlelése és korrekciója más adatok - köztük szintetikus vagy anonimizált adatok - feldolgozásával nem valósítható meg hatékonyan;
b) a személyes adatok különleges kategóriái a személyes adatok további felhasználására vonatkozó technikai korlátozások, valamint a legkorszerűbb biztonsági és magánéletvédelmi intézkedések - köztük az álnevesítés - hatálya alá tartoznak;
c) a személyes adatok különleges kategóriái olyan intézkedések hatálya alá tartoznak, amelyek célja annak biztosítása, hogy a feldolgozott személyes adatok biztonságosak és védettek legyenek, megfelelő biztosítékok hatálya alá tartozzanak - ideértve a szigorú ellenőrzést és a hozzáférés dokumentálását -, valamint a rendellenes használat elkerülése és annak garantálása, hogy az említett személyes adatokhoz csak felhatalmazott és megfelelő titoktartási kötelezettségek alá tartozó személyek férjenek hozzá;
d) a különleges kategóriájú személyes adatok nem továbbíthatók, nem ruházhatók át, és nem tehetők harmadik felek által egyéb módon hozzáférhetővé;
e) a különleges kategóriájú személyes adatok törlésre kerülnek, amint a torzítást korrigálták, vagy a személyes adatok megőrzési időszaka lejárt, attól függően, hogy melyik következik be előbb;
f) az adatkezelési tevékenységeknek az (EU) 2016/679 és az (EU) 2018/1725 rendelet, valamint az (EU) 2016/680 irányelv szerinti nyilvántartásai tartalmazzák annak magyarázatát, hogy a személyes adatok különleges kategóriáinak kezelése miért volt feltétlenül szükséges a torzítások felderítéséhez és korrekciójához, és hogy ez a cél miért nem volt elérhető más adatok kezelésével.
(6) Az MI-modellek tanítását magukban foglaló technikákat nem alkalmazó nagy kockázatú MI-rendszerek fejlesztése esetében a (2)-(5) bekezdés csak a tesztadatkészletekre alkalmazandó.
11. cikk
Műszaki dokumentáció
(1) A nagy kockázatú MI-rendszerek műszaki dokumentációját a rendszer forgalomba hozatala vagy üzembe helyezése előtt kell elkészíteni, és naprakészen kell tartani.
A műszaki dokumentációt úgy kell összeállítani, hogy bizonyítsa, hogy a nagy kockázatú MI-rendszer megfelel az e szakaszban meghatározott követelményeknek, és hogy belőle az illetékes nemzeti hatóságok és a bejelentett szervezetek világos és érthető formában hozzájussanak az annak értékeléséhez szükséges információkhoz, hogy az MI-rendszer megfelel-e az említett követelményeknek. A műszaki dokumentációnak tartalmaznia kell legalább a IV. mellékletben meghatározott elemeket. A kkv-k - köztük az induló innovatív vállalkozások - egyszerűsített formában nyújthatják be a IV. mellékletben meghatározott technikai dokumentáció elemeit. E célból a Bizottság létrehozza a kis- és mikrovállalkozások igényeinek megfelelő, egyszerűsített műszaki dokumentációs formanyomtatványt. Amennyiben valamely kkv - például induló innovatív vállalkozás - úgy dönt, hogy a IV. mellékletben előírt információkat egyszerűsített formában nyújtja be, e célra az e bekezdésben említett formanyomtatványt kell használnia. A bejelentett szervezeteknek a megfelelőségértékelés céljára el kell fogadniuk a formanyomtatványt.
(2) Olyan termékhez kapcsolódó nagy kockázatú MI-rendszer forgalomba hozatala vagy üzembe helyezése esetén, amelyre az I. melléklet A. szakaszában felsorolt uniós harmonizációs jogszabályok vonatkoznak, egyetlen műszaki dokumentációs csomagot kell készíteni, amely tartalmazza az (1) bekezdésben meghatározott valamennyi információt, valamint az említett jogi aktusokban előírt információkat.
(3) A Bizottság felhatalmazást kap arra, hogy a 97. cikknek megfelelően felhatalmazáson alapuló jogi aktusokat fogadjon el, hogy szükség esetén módosítsa a IV. mellékletet annak biztosítása érdekében, hogy a műszaki dokumentáció a műszaki fejlődés fényében minden szükséges információt megadjon annak értékeléséhez, hogy a rendszer megfelel-e az e szakaszban meghatározott követelményeknek.
12. cikk
Nyilvántartás
(1) A nagy kockázatú MI-rendszereknek a rendszer élettartama során technikailag lehetővé kell tenniük az események automatikus rögzítését (naplózás).
(2) Annak érdekében, hogy biztosítsák a nagy kockázatú MI-rendszer működésének olyan szinten történő nyomon követhetőségét, amely megfelelő a rendszer rendeltetéséhez, a naplózási képességeknek lehetővé kell tenniük a következők szempontjából releváns események rögzítését:
a) azon helyzetek azonosítása, amelyek eredményeként a nagy kockázatú MI-rendszer a 79. cikk (1) bekezdése értelmében vett kockázatot jelenthet, vagy amelyek eredményeként jelentős módosítás következhet be;
b) a 72. cikkben említett forgalomba hozatal utáni nyomon követés megkönnyítése; és
c) a nagy kockázatú MI-rendszerek működésének a 26. cikk (5) bekezdésében említett nyomon követése.
(3) A III. melléklet 1. pontjának a) alpontjában említett nagy kockázatú MI-rendszerek esetében a naplózási képességnek legalább a következőket kell biztosítania:
a) a rendszer minden egyes használati időszakának rögzítése (az egyes használatok kezdő dátuma és időpontja, valamint záró dátuma és időpontja);
b) az a referencia-adatbázis, amelyhez viszonyítva a rendszer ellenőrizte a bemeneti adatokat;
c) azok a bemeneti adatok, amelyek esetében a keresés egyezést eredményezett;
d) a 14. cikk (5) bekezdésében említettek szerint az eredmények ellenőrzésében részt vevő természetes személyek azonosítása.
13. cikk
Átláthatóság és az alkalmazóknak nyújtott tájékoztatás
(1) A nagy kockázatú MI-rendszereket úgy kell megtervezni és fejleszteni, hogy működésük kellően átlátható legyen ahhoz, hogy az alkalmazók értelmezhessék a rendszer kimenetét és megfelelően használhassák azt. A szolgáltatónak és az alkalmazónak a 3. szakaszban meghatározott vonatkozó kötelezettségeinek való megfelelés érdekében megfelelő típusú és mértékű átláthatóságot kell biztosítani.
(2) A nagy kockázatú MI-rendszerekhez megfelelő digitális formátumú vagy egyéb használati utasítást kell mellékelni, amely tömör, teljes körű, pontos és egyértelmű, az alkalmazók számára releváns, hozzáférhető és érthető információkat tartalmaz.
(3) A használati utasításnak tartalmaznia kell legalább a következő információkat:
a) a szolgáltatónak és - adott esetben - a meghatalmazott képviselőjének a kiléte és elérhetőségei;
b) a nagy kockázatú MI-rendszer jellemzői, képességei és teljesítményének korlátai, beleértve a következőket:
i. a rendszer rendeltetése;
ii. a 15. cikkben említett pontosság - ideértve a mérőszámait is -, stabilitás és kiberbiztonság azon várható szintje, amelyhez viszonyítva a nagy kockázatú MI-rendszert tesztelték és validálták, valamint minden olyan ismert és előre látható körülmény, amely befolyásolhatja a pontosság, a stabilitás és a kiberbiztonság említett várható szintjét;
iii. bármely ismert vagy előre látható, a nagy kockázatú MI-rendszer rendeltetésszerű használatával vagy az észszerűen előrelátható rendellenes használatával összefüggő körülmény, amely a 9. cikk (2) bekezdésében említett, az egészségre és a biztonságra vagy az alapvető jogokra jelentett kockázatokhoz vezethet;
iv. adott esetben a nagy kockázatú MI-rendszer műszaki képességei és tulajdonságai a kimenetének magyarázata szempontjából releváns tájékoztatás tekintetében;
v. adott esetben a rendszer teljesítménye azon meghatározott személyek vagy személyek csoportjai tekintetében, akikre vagy amelyekre a rendszert használni kívánják;
vi. adott esetben a bemeneti adatokra vonatkozó előírások vagy az alkalmazott tanító-, validálási és tesztadatkészletekre vonatkozó egyéb releváns információk, figyelembe véve a nagy kockázatú MI-rendszer rendeltetését;
vii. adott esetben a nagy kockázatú MI-rendszer kimeneteinek az alkalmazók általi értelmezését és megfelelő használatát lehetővé tevő információk;
c) a nagy kockázatú MI-rendszert és annak teljesítményét érintő, a szolgáltató által az első megfelelőségértékelés időpontjában előre meghatározott változások, ha vannak ilyenek;
d) a 14. cikkben említett emberi felügyeleti intézkedések, beleértve a nagy kockázatú MI-rendszerek kimeneteinek alkalmazók általi értelmezését megkönnyítő technikai intézkedéseket;
e) a szükséges számítási és hardveres erőforrások, a nagy kockázatú MI-rendszer várható élettartama, valamint az említett MI-rendszer megfelelő működésének biztosításához szükséges karbantartási és gondozási intézkedések, beleértve a gyakoriságukat is, többek között a szoftverfrissítések tekintetében;
f) adott esetben a nagy kockázatú MI-rendszerben foglalt mechanizmusok leírása, amelyek lehetővé teszik az alkalmazók számára a naplók megfelelő gyűjtését, tárolását és értelmezését a 12. cikkel összhangban.
14. cikk
Emberi felügyelet
(1) A nagy kockázatú MI-rendszereket úgy kell megtervezni és fejleszteni - többek között megfelelő ember-gép interfész eszközökkel -, hogy azokat a használatuk időtartama alatt természetes személyek hatékonyan felügyelhessék.
(2) Az emberi felügyelet célja az egészséget, a biztonságot vagy az alapvető jogokat érintő azon kockázatok megelőzése vagy minimalizálása, amelyek a nagy kockázatú MI-rendszer rendeltetésszerű használata vagy észszerűen előrelátható rendellenes használata esetén merülhetnek fel, különösen, amennyiben az ilyen kockázatok az e szakaszban meghatározott egyéb követelmények alkalmazásának ellenére tartósan fennállnak.
(3) A felügyeleti intézkedéseknek arányban kell állniuk a nagy kockázatú MI-rendszer kockázataival, autonómia-szintjével és felhasználási kontextusával, és azokat a következő intézkedéstípusok közül az egyik vagy mindkettő révén kell biztosítani:
a) a szolgáltató által a nagy kockázatú MI-rendszer forgalomba hozatala vagy üzembe helyezése előtt azonosított és - amennyiben műszakilag megvalósítható - a nagy kockázatú MI-rendszerbe beépített intézkedések;
b) a szolgáltató által a nagy kockázatú MI-rendszer forgalomba hozatala vagy üzembe helyezése előtt azonosított, és az alkalmazó általi alkalmazásra megfelelő intézkedések.
(4) Az (1), a (2) és a (3) bekezdés végrehajtása céljából a nagy kockázatú MI-rendszert oly módon kell az alkalmazó rendelkezésére bocsátani, hogy az emberi felügyelettel megbízott természetes személyek - adott esetben és arányos módon - képessé váljanak a következőkre:
a) megfelelően megérteni a nagy kockázatú MI-rendszer releváns képességeit és korlátait, valamint tudni kellően nyomon követni annak működését, többek között a rendellenességek, zavarok és a váratlan teljesítmény felderítése és kezelése érdekében;
b) tudatában maradni a nagy kockázatú MI-rendszerek által előállított kimenetre való automatikus vagy túlzott mértékű támaszkodás tendenciájának ("automatizálási torzítás"), különösen azon nagy kockázatú MI-rendszerek esetében, amelyeket információ vagy ajánlások nyújtására használnak a természetes személyek által hozandó döntésekhez;
c) helyesen értelmezni a nagy kockázatú MI-rendszer kimenetét, figyelembe véve például a rendelkezésre álló értelmezési eszközöket és módszereket;
d) bármely konkrét helyzetben dönteni arról, hogy nem használják a nagy kockázatú MI-rendszert, vagy más módon figyelmen kívül hagyják, felülírják vagy visszafordítják a nagy kockázatú MI-rendszer kimenetét;
e) beavatkozni a nagy kockázatú MI-rendszer működésébe, vagy megszakítani a rendszert egy "stop" gomb vagy olyan, hasonló eljárás révén, amely lehetővé teszi a rendszer biztonságos állapotban történő leállását.
(5) A III. melléklet 1. pontjának a) alpontjában említett nagy kockázatú MI-rendszerek esetében az e cikk (3) bekezdésében említett intézkedéseknek olyanoknak kell lenniük, amelyek biztosítják, hogy emellett az alkalmazó a rendszerből származó azonosítás alapján ne hozzon intézkedést vagy döntést, kivéve, ha az említett azonosítást legalább két, a szükséges kompetenciával, képzettséggel és hatáskörrel rendelkező természetes személy - egymástól függetlenül - ellenőrizte és megerősítette.
A legalább két természetes személy által egymástól függetlenül végzett ellenőrzésre vonatkozó követelmény nem alkalmazandó a bűnüldözés, a migráció, a határellenőrzés vagy a menekültügy céljaira használt nagy kockázatú MI-rendszerekre, amennyiben az uniós vagy a nemzeti jog e követelmény alkalmazását aránytalannak tekinti.
15. cikk
Pontosság, stabilitás és kiberbiztonság
(1) A nagy kockázatú MI-rendszereket úgy kell megtervezni és fejleszteni, hogy megfelelő szintű pontosságot, stabilitást és kiberbiztonságot érjenek el, továbbá, hogy e tekintetben a teljes életciklusuk során következetesen teljesítsenek.
(2) A pontosság és a stabilitás (1) bekezdésben meghatározott szintjeinek mérésével kapcsolatos technikai szempontok figyelembevétele érdekében a Bizottság - a releváns érdekelt felekkel és szervezetekkel, így például a metrológiai és teljesítményértékelési hatóságokkal együttműködve - adott esetben ösztönzi a referenciaértékek és mérési módszertanok kidolgozását.
(3) A nagy kockázatú MI-rendszerek pontossági szintjeit és vonatkozó pontossági mérőszámait a mellékelt használati utasításban kell feltüntetni.
(4) A nagy kockázatú MI-rendszereknek a lehető leginkább reziliensnek kell lenniük azon hibák, meghibásodások vagy következetlenségek tekintetében, amelyek a rendszeren vagy a rendszer működési környezetén belül előfordulhatnak, különösen a természetes személyekkel vagy más rendszerekkel való kölcsönhatásuk miatt. E tekintetben technikai és szervezeti intézkedéseket kell hozni.
A nagy kockázatú MI-rendszerek stabilitása elérhető műszaki redundanciamegoldásokkal, amelyek magukban foglalhatnak biztonsági vagy vészüzemi terveket is.
Azon nagy kockázatú MI-rendszereket, amelyek a forgalomba hozatalt vagy az üzembe helyezést követően is tanulnak, úgy kell fejleszteni, hogy kiküszöböljék vagy a lehető legnagyobb mértékben csökkentsék annak kockázatát, hogy az esetlegesen torzított kimenetek befolyásolják a jövőbeli műveletek bemenetét (visszacsatolási hurkok), valamint biztosítva azt, hogy az ilyen visszacsatolási hurkokat megfelelő kockázatcsökkentő intézkedésekkel kielégítően kezeljék.
(5) A nagy kockázatú MI-rendszereknek reziliensnek kell lenniük a jogosulatlan harmadik felek arra irányuló kísérleteivel szemben, hogy a rendszer sebezhetőségeinek kiaknázása révén megváltoztassák a rendszer használatát, kimeneteit vagy teljesítményét.
A nagy kockázatú MI-rendszerek kiberbiztonságának biztosítását célzó műszaki megoldásoknak megfelelőnek kell lenniük a releváns körülmények és a kockázatok szempontjából.
Az MI-specifikus sebezhetőségek kezelésére szolgáló műszaki megoldásoknak adott esetben magukban kell foglalniuk azon intézkedéseket, amelyek a tanítóadat-készlet manipulálását megkísérlő támadásoknak (adatmérgezés) vagy a tanítás során használt előtanított összetevők manipulálását megkísérlő támadásoknak ("modellmérgezés"), a modell hibájának előidézésére szolgáló bemeneteknek (támadó szempontú példák vagy modellkijátszás), a bizalmasság elleni támadásoknak vagy a modellhibáknak a megelőzésére, felderítésére, az azokra való reagálásra, azok megoldására és ellenőrzésére irányulnak.
3. SZAKASZ
A nagy kockázatú MI-rendszerek szolgáltatóinak és alkalmazóinak, valamint más feleknek a kötelezettségei
16. cikk
A nagy kockázatú MI-rendszerek szolgáltatóinak kötelezettségei
A nagy kockázatú MI-rendszerek szolgáltatóinak:
a) biztosítaniuk kell, hogy nagy kockázatú MI-rendszereik megfeleljenek a 2. szakaszban meghatározott követelményeknek;
b) fel kell tüntetniük a nagy kockázatú MI-rendszeren - vagy amennyiben ez nem lehetséges, annak csomagolásán vagy adott esetben a kísérő dokumentációján - a nevüket, bejegyzett kereskedelmi nevüket vagy bejegyzett védjegyüket és azt a címüket, amelyen velük kapcsolatba lehet lépni;
c) a 17. cikknek megfelelő minőségirányítási rendszerrel kell rendelkezniük;
d) vezetniük kell a 18. cikkben említett dokumentációt;
e) a 19. cikkben említettek szerint meg kell őrizniük a nagy kockázatú MI-rendszereik által automatikusan generált naplókat, ha azok az ellenőrzésük alatt állnak;
f) biztosítaniuk kell, hogy a nagy kockázatú MI-rendszert forgalomba hozatala vagy üzembe helyezése előtt alávessék a 43. cikkben említett vonatkozó megfelelőségértékelési eljárásnak;
g) a 47. cikkel összhangban EU-megfelelőségi nyilatkozatot kell készíteniük;
h) a 48. cikkel összhangban fel kell tüntetniük a CE-jelölést a nagy kockázatú MI-rendszeren - vagy amennyiben ez nem lehetséges, annak csomagolásán vagy kísérő dokumentációján -, hogy jelezzék az e rendeletnek való megfelelést;
i) eleget kell tenniük a 49. cikk (1) bekezdésében említett regisztrációs kötelezettségeknek;
j) a 20. cikkben előírtak szerint meg kell hozniuk a szükséges korrekciós intézkedéseket és tájékoztatást kell nyújtaniuk;
k) az illetékes nemzeti hatóság indokolással ellátott kérésére igazolniuk kell, hogy a nagy kockázatú MI-rendszer megfelel a 2. szakaszban meghatározott követelményeknek;
l) az (EU) 2016/2102 és az (EU) 2019/882 irányelvvel összhangban biztosítaniuk kell, hogy a nagy kockázatú MI-rendszer megfeleljen az akadálymentesítési követelményeknek.
17. cikk
Minőségirányítási rendszer
(1) A nagy kockázatú MI-rendszerek szolgáltatóinak minőségirányítási rendszert kell bevezetniük, amely biztosítja az e rendeletnek való megfelelést. Ezt a rendszert írásbeli szabályzatok, eljárások és utasítások formájában szisztematikus és rendezett módon dokumentálni kell, és annak legalább a következő szempontokra kell kiterjednie:
a) a jogszabályi rendelkezések tiszteletben tartását célzó stratégia, beleértve a megfelelőségértékelési eljárásoknak, valamint a nagy kockázatú MI-rendszer módosításának kezelését célzó eljárásoknak való megfelelést is;
b) a nagy kockázatú MI-rendszer tervezéséhez, tervezés-ellenőrzéséhez és tervezés-igazolásához alkalmazandó technikák, eljárások és módszeres intézkedések;
c) a nagy kockázatú MI-rendszer fejlesztésére, minőség-ellenőrzésére és minőségbiztosítására alkalmazandó technikák, eljárások és módszeres intézkedések;
d) a nagy kockázatú MI-rendszer fejlesztése előtt, alatt és után végrehajtandó vizsgálati, tesztelési és validálási eljárások, valamint azok elvégzésének előírt gyakorisága;
e) az alkalmazandó műszaki előírások, beleértve a szabványokat, valamint - amennyiben a vonatkozó harmonizált szabványokat nem alkalmazzák teljes mértékben, vagy azok nem terjednek ki a 2. szakaszban meghatározott valamennyi releváns követelményre - az annak biztosítására szolgáló eszközök, hogy a nagy kockázatú MI-rendszer megfeleljen az említett követelményeknek;
f) adatgazdálkodási rendszerek és eljárások, beleértve az adatszerzést, az adatgyűjtést, az adatelemzést, az adatcímkézést, az adattárolást, az adatszűrést, az adatbányászatot, az adatösszesítést, az adatmegőrzést és a nagy kockázatú MI-rendszerek forgalomba hozatala vagy üzembe helyezése előtt és céljából végzett bármely más, az adatokkal kapcsolatos műveletet;
g) a 9. cikkben említett kockázatkezelési rendszer;
h) a 72. cikkel összhangban a forgalomba hozatal utáni nyomonkövetési rendszer kidolgozása, végrehajtása és fenntartása;
i) a 73. cikkel összhangban a súlyos váratlan események bejelentésével kapcsolatos eljárások;
j) az illetékes nemzeti hatóságokkal, egyéb releváns - többek között az adatokhoz való hozzáférést biztosító vagy támogató - hatóságokkal, a bejelentett szervezetekkel, más gazdasági szereplőkkel, ügyfelekkel vagy más érdekelt felekkel folytatott kommunikáció kezelése;
k) valamennyi releváns dokumentáció és információ nyilvántartására szolgáló rendszerek és eljárások;
l) erőforrás-gazdálkodás, beleértve az ellátás biztonságával kapcsolatos intézkedéseket;
m) elszámoltathatósági keret, amely meghatározza a vezetőség és az egyéb személyzet felelősségi körét az e bekezdésben felsorolt valamennyi szempont tekintetében.
(2) Az (1) bekezdésben említett szempontok megvalósításának arányosnak kell lennie a szolgáltató szervezetének méretével. A szolgáltatóknak minden esetben tiszteletben kell tartaniuk a nagy kockázatú MI-rendszereik e rendeletnek való megfelelésének biztosításához szükséges szigorúsági mértéket és védelmi szintet.
(3) A nagy kockázatú MI-rendszerek azon szolgáltatói, amelyek a minőségirányítási rendszerekre vagy a releváns ágazati uniós jog szerinti valamely egyenértékű funkcióra vonatkozó kötelezettségek hatálya alá tartoznak, az (1) bekezdésben felsorolt szempontokat az említett jog alapján létrehozott minőségirányítási rendszerek részévé tehetik.
(4) Azon szolgáltatók esetében, amelyek a pénzügyi szolgáltatásokra vonatkozó uniós jog értelmében a belső irányításukra, rendszerükre vagy eljárásaikra vonatkozó követelmények hatálya alá tartozó pénzügyi intézmények, az e cikk (1) bekezdésének g), h) és i) pontja kivételével a minőségirányítási rendszer létrehozására vonatkozó kötelezettséget a pénzügyi szolgáltatásokra vonatkozó uniós jog szerinti, belső irányítási rendszerekre vagy eljárásokra vonatkozó szabályoknak való megfeleléssel teljesítettnek kell tekinteni. E célból figyelembe kell venni a 40. cikkben említett harmonizált szabványokat.
18. cikk
A dokumentáció vezetése
(1) A szolgáltatónak a nagy kockázatú MI-rendszer forgalomba hozatala vagy üzembe helyezése után 10 évig az illetékes nemzeti hatóságok számára elérhetővé kell tennie a következőket:
a) a 11. cikkben említett műszaki dokumentáció;
b) a 17. cikkben említett minőségirányítási rendszerre vonatkozó dokumentáció;
c) adott esetben a bejelentett szervezetek által jóváhagyott változtatások dokumentációja;
d) adott esetben a bejelentett szervezetek által kiadott határozatok és egyéb dokumentumok;
e) a 47. cikkben említett EU-megfelelőségi nyilatkozat.
(2) Minden tagállam meghatározza azon feltételeket, amelyek mellett az (1) bekezdésben említett dokumentáció az említett bekezdésben megjelölt ideig továbbra is az illetékes nemzeti hatóságok rendelkezésére áll azokban az esetekben, amikor a szolgáltató vagy a területén letelepedett meghatalmazott képviselője az említett időszak vége előtt csődbe megy vagy beszünteti tevékenységét.
(3) Azon szolgáltatóknak, amelyek a pénzügyi szolgáltatásokra vonatkozó uniós jog értelmében a belső irányításukra, rendszerükre vagy eljárásaikra vonatkozó követelmények hatálya alá tartozó pénzügyi intézmények, a technikai dokumentációt a pénzügyi szolgáltatásokra vonatkozó uniós jog alapján vezetett dokumentáció részeként kell megőrizniük.
19. cikk
Automatikusan generált naplók
(1) A nagy kockázatú MI-rendszerek szolgáltatóinak meg kell őrizniük az adott nagy kockázatú MI-rendszereik által automatikusan generált, a 12. cikk (1) bekezdésében említett naplókat, amennyiben az ilyen naplók ellenőrzésük alatt állnak. A naplókat - az alkalmazandó uniós vagy nemzeti jog sérelme nélkül - a nagy kockázatú MI-rendszer rendeltetésének megfelelő - legalább hat hónapos - időtartamig kell megőrizni, kivéve, ha az alkalmazandó uniós vagy nemzeti jog, különösen a személyes adatok védelmére vonatkozó uniós jog másként rendelkezik.
(2) Azon szolgáltatóknak, amelyek a pénzügyi szolgáltatásokra vonatkozó uniós jog értelmében a belső irányításukra, rendszerükre vagy eljárásaikra vonatkozó követelmények hatálya alá tartozó pénzügyi intézmények, a pénzügyi szolgáltatásokra vonatkozó releváns jogszabályok alapján vezetett dokumentáció részeként meg kell őrizniük a nagy kockázatú MI-rendszereik által automatikusan generált naplókat.
20. cikk
Korrekciós intézkedések és tájékoztatási kötelezettség
(1) A nagy kockázatú MI-rendszerek azon szolgáltatóinak, amelyek úgy ítélik meg, vagy okuk van úgy megítélni, hogy az általuk forgalomba hozott vagy üzembe helyezett nagy kockázatú MI-rendszer nem felel meg e rendeletnek, azonnal meg kell hozniuk a szükséges korrekciós intézkedéseket az említett rendszer - adott esetben - megfelelőségének biztosítására, forgalomból való kivonására, üzemen kívül helyezésére vagy visszahívására. Ennek megfelelően tájékoztatniuk kell az érintett nagy kockázatú MI-rendszer forgalmazóit, valamint adott esetben az alkalmazókat, a meghatalmazott képviselőt és az importőröket.
(2) Amennyiben a nagy kockázatú MI-rendszer a 79. cikk (1) bekezdése értelmében kockázatot jelent, és ez a kockázat a rendszer szolgáltatójának a tudomására jut, a szolgáltatónak haladéktalanul ki kell vizsgálnia az okokat, adott esetben a bejelentést tevő alkalmazóval együttműködve, valamint tájékoztatnia kell - különösen a meg nem felelés és a meghozott releváns korrekciós intézkedések jellegéről - az érintett nagy kockázatú MI-rendszerért felelős piacfelügyeleti hatóságokat és adott esetben azon bejelentett szervezetet, amely az adott nagy kockázatú MI-rendszerre a 44. cikknek megfelelően tanúsítványt adott ki.
21. cikk
Együttműködés az illetékes hatóságokkal
(1) A nagy kockázatú MI-rendszerek szolgáltatóinak valamely illetékes hatóság indokolt kérésére, az Unió intézményeinek egyik hivatalos, az érintett tagállam által megjelölt és az adott hatóság által könnyen érthető nyelvén át kell adniuk az említett hatóság részére minden olyan információt és dokumentációt, amely szükséges annak igazolásához, hogy a nagy kockázatú MI-rendszer megfelel a 2. szakaszban meghatározott követelményeknek.
(2) Valamely illetékes hatóság indokolt kérésére a szolgáltatóknak adott esetben hozzáférést kell biztosítaniuk a megkereső illetékes hatóság számára a 12. cikk (1) bekezdésében említett nagy kockázatú MI-rendszer automatikusan generált naplóihoz is, amennyiben ezek a naplók az ellenőrzésük alatt állnak.
(3) Az illetékes hatóságok által e cikk alapján megszerzett információkat a 78. cikkben meghatározott titoktartási kötelezettségeknek megfelelően kell kezelni.
22. cikk
A nagy kockázatú MI-rendszerek meghatalmazott képviselői
(1) A nagy kockázatú MI-rendszereiknek az Unió piacán való forgalmazását megelőzően a harmadik országokban letelepedett szolgáltatóknak írásbeli megbízással ki kell nevezniük egy, az Unióban letelepedett meghatalmazott képviselőt.
(2) A szolgáltatónak lehetővé kell tennie a meghatalmazott képviselője számára, hogy elvégezze a szolgáltatótól kapott megbízásban meghatározott feladatokat.
(3) A meghatalmazott képviselőknek el kell ellátniuk a szolgáltatótól kapott megbízásban meghatározott feladatokat. A megbízás egy példányát kérésre a piacfelügyeleti hatóságok rendelkezésére kell bocsátaniuk az Unió intézményeinek egyik hivatalos, az illetékes hatóság által megjelölt nyelvén. E rendelet alkalmazása céljából a megbízásban fel kell hatalmazni a meghatalmazott képviselőt a következő feladatok elvégzésére:
a) annak ellenőrzése, hogy elkészült-e a 47. cikkben említett EU-megfelelőségi nyilatkozat és a 11. cikkben említett műszaki dokumentáció, valamint hogy a szolgáltató elvégzett-e egy megfelelő megfelelőségértékelési eljárást;
b) a nagy kockázatú MI-rendszer forgalomba hozatalát vagy üzembe helyezését követő tízéves időtartamra az illetékes hatóságok és a 74. cikk (10) bekezdésében említett nemzeti hatóságok vagy szervek számára a következők elérhetővé tétele: azon szolgáltató elérhetőségei, aki vagy amely kinevezte a meghatalmazott képviselőt, a 47. cikkben említett EU-megfelelőségi nyilatkozat egy példánya, a műszaki dokumentáció és adott esetben a bejelentett szervezet által kiadott tanúsítvány;
c) indokolt kérésre az annak igazolásához szükséges minden információnak és dokumentációnak - beleértve az ezen albekezdés b) pontjában említetteket is - az illetékes hatóság rendelkezésére bocsátása, hogy a nagy kockázatú MI-rendszer megfelel a 2. szakaszban foglalt követelményeknek, ideértve a nagy kockázatú MI-rendszer által automatikusan generált, a 12. cikk (1) bekezdésében említett naplókhoz való hozzáférést is, amennyiben az ilyen naplók a szolgáltató ellenőrzése alatt állnak;
d) indokolt kérésre együttműködés az illetékes hatóságokkal a nagy kockázatú MI-rendszerrel kapcsolatban - különösen a nagy kockázatú MI-rendszer jelentette kockázatok csökkentését és enyhítését illetően - e hatóságok által tett bármely intézkedés tekintetében;
e) adott esetben a 49. cikk (1) bekezdésében említett nyilvántartásba vételi kötelezettségek teljesítése, vagy - ha a nyilvántartásba vételt maga a szolgáltató végzi - a VIII. melléklet A. szakaszának 3. pontjában említett információk helyességének biztosítása.
A megbízásban fel kell hatalmazni a meghatalmazott képviselőt arra, hogy az illetékes hatóságok hozzá forduljanak - a szolgáltató mellett vagy helyett - az e rendeletnek való megfelelés biztosításával kapcsolatos minden kérdést illetően.
(4) A meghatalmazott képviselőnek meg kell szüntetnie a megbízást, ha úgy ítéli meg, vagy oka van úgy megítélni, hogy a szolgáltató az e rendelet szerinti kötelezettségeivel ellentétesen jár el. Ilyen esetben a megbízás megszüntetéséről és annak okairól haladéktalanul tájékoztatnia kell a releváns piacfelügyeleti hatóságot és adott esetben a releváns bejelentett szervezetet is.
23. cikk
Az importőrök kötelezettségei
(1) Valamely nagy kockázatú MI-rendszer forgalomba hozatala előtt az importőröknek biztosítaniuk kell, hogy a rendszer megfeleljen e rendeletnek a következők ellenőrzésével:
a) a nagy kockázatú MI-rendszer szolgáltatója elvégezte a 43. cikkben említett releváns megfelelőségértékelési eljárást;
b) a szolgáltató elkészítette a műszaki dokumentációt a 11. cikknek és a IV. mellékletnek megfelelően;
c) a rendszeren feltüntették az előírt CE-jelölést, valamint mellékelték ahhoz a 47. cikkben említett EU-megfelelőségi nyilatkozatot és a használati utasítást;
d) a szolgáltató kinevezett egy meghatalmazott képviselőt a 22. cikk (1) bekezdésének megfelelően.
(2) Amennyiben az importőrnek elegendő oka van úgy megítélni, hogy valamely nagy kockázatú MI-rendszer nem felel meg e rendeletnek, vagy azt hamisították, vagy hamisított dokumentációval rendelkezik, addig nem hozhatja forgalomba a rendszert, amíg annak megfelelőségét nem biztosították. Amennyiben a nagy kockázatú MI-rendszer a 79. cikk (1) bekezdése értelmében kockázatot jelent, az importőrnek erről tájékoztatnia kell a rendszer szolgáltatóját, a meghatalmazott képviselőket és a piacfelügyeleti hatóságokat.
(3) Az importőröknek fel kell tüntetniük a nagy kockázatú MI-rendszeren és annak csomagolásán vagy adott esetben a kísérő dokumentációján a nevüket, bejegyzett kereskedelmi nevüket vagy bejegyzett védjegyüket, valamint azon címet, amelyen velük a nagy kockázatú MI-rendszert illetően kapcsolatba lehet lépni.
(4) Az importőröknek biztosítaniuk kell, hogy mindaddig, amíg ők felelnek egy nagy kockázatú MI-rendszerért, adott esetben a tárolási vagy szállítási feltételek ne veszélyeztessék a rendszer 2. szakaszban foglalt követelményeknek való megfelelőségét.
(5) Az importőröknek a nagy kockázatú MI-rendszer forgalomba hozatalát vagy üzembe helyezését követő tízéves időtartamig meg kell őrizniük a bejelentett szervezet által kiállított tanúsítvány, adott esetben a használati utasítás és a 47. cikkben említett EU-megfelelőségi nyilatkozat egy-egy példányát.
(6) Az importőröknek indokolt kérésre a releváns illetékes hatóságok rendelkezésére kell bocsátaniuk minden, annak igazolásához szükséges információt és dokumentációt - ideértve az (5) bekezdésben említetteket is -, hogy a nagy kockázatú MI-rendszer megfelel a 2. szakaszban foglalt követelményeknek, az adott illetékes nemzeti hatóság számára könnyen érthető nyelven. E célból az importőröknek biztosítaniuk kell azt is, hogy a műszaki dokumentációt az említett hatóságok rendelkezésére lehessen bocsátani.
(7) Az importőröknek együtt kell működniük a releváns illetékes nemzeti hatóságokkal minden olyan intézkedés tekintetében, amelyet az említett hatóságok hoznak egy olyan nagy kockázatú MI-rendszerrel kapcsolatban - különösen az általa jelentett kockázatok csökkentése és enyhítése érdekében -, amelyet az importőrök hoztak forgalomba.
24. cikk
A forgalmazók kötelezettségei
(1) Valamely nagy kockázatú MI-rendszer forgalmazását megelőzően a forgalmazóknak ellenőrizniük kell, hogy a nagy kockázatú MI-rendszeren fel van-e tüntetve az előírt CE- jelölés, mellékelték-e ahhoz a 47. cikkben említett EU-megfelelőségi nyilatkozat egy példányát és a használati utasítást, valamint hogy az említett rendszer szolgáltatója, illetve - adott esetben - importőre teljesítette-e a 16. cikk b) és c) pontjában, illetve a 23. cikk (3) bekezdésében foglalt kötelezettségeit.
(2) Amennyiben a forgalmazó a birtokában lévő információk alapján úgy ítéli meg, vagy oka van úgy megítélni, hogy egy nagy kockázatú MI-rendszer nem felel meg a 2. szakaszban meghatározott követelményeknek, nem forgalmazhatja a nagy kockázatú MI-rendszert mindaddig, amíg a rendszert nem hozták összhangba az említett követelményekkel. Továbbá, amennyiben a nagy kockázatú MI-rendszer a 79. cikk (1) bekezdése értelmében kockázatot jelent, a forgalmazónak erről tájékoztatnia kell a rendszer szolgáltatóját vagy adott esetben importőrét.
(3) A forgalmazóknak biztosítaniuk kell, hogy mindaddig, amíg ők felelnek a nagy kockázatú MI-rendszerért, adott esetben a tárolási vagy szállítási feltételek ne veszélyeztessék a rendszer 2. szakaszban foglalt követelményeknek való megfelelőségét.
(4) Azon forgalmazónak, amely a birtokában lévő információk alapján úgy ítéli meg, vagy oka van úgy megítélni, hogy az általa forgalmazott nagy kockázatú MI-rendszer nem felel meg a 2. szakaszban foglalt követelményeknek, meg kell tennie a szükséges korrekciós intézkedéseket ahhoz, hogy a rendszert összhangba hozza az említett követelményekkel, kivonja a forgalomból vagy visszahívja, vagy biztosítania kell, hogy a szolgáltató, az importőr vagy adott esetben bármely érintett üzemeltető megtegye az említett korrekciós intézkedéseket. Amennyiben a nagy kockázatú MI-rendszer a 79. cikk (1) bekezdése értelmében kockázatot jelent, a forgalmazónak erről haladéktalanul tájékoztatnia kell a rendszer szolgáltatóját vagy importőrét, és az érintett nagy kockázatú MI-rendszerért felelős hatóságokat, részletezve különösen a meg nem felelést és a meghozott korrekciós intézkedéseket.
(5) Valamely releváns illetékes nemzeti hatóság indokolt kérésére a nagy kockázatú MI-rendszerek forgalmazóinak az említett hatóság rendelkezésére kell bocsátaniuk az (1)-(4) bekezdés szerinti tevékenységeikre vonatkozó valamennyi olyan információt és dokumentációt, amely szükséges annak igazolásához, hogy az említett rendszer megfelel a 2. szakaszban meghatározott követelményeknek.
(6) A forgalmazóknak együtt kell működniük a releváns illetékes hatóságokkal minden olyan intézkedés tekintetében, amelyet az említett hatóságok hoznak egy olyan nagy kockázatú MI-rendszerrel kapcsolatban - különösen az általa jelentett kockázat csökkentése vagy enyhítése érdekében -, amelyet a forgalmazók forgalmaznak.
25. cikk
Felelősségi körök az MI-értéklánc mentén
(1) E rendelet alkalmazásában minden forgalmazót, importőrt, alkalmazót vagy egyéb harmadik felet nagy kockázatú MI-rendszer szolgáltatójának kell tekinteni, és arra a szolgáltatónak a 16. cikk szerinti kötelezettségei vonatkoznak a következő körülmények bármelyikének esetében:
a) nevüket vagy védjegyüket egy már forgalomba hozott vagy üzembe helyezett, nagy kockázatú MI-rendszeren helyezik el, olyan szerződéses megállapodások sérelme nélkül, amelyek a kötelezettségek másképp történő megosztását írják elő;
b) jelentős módosítást hajtanak végre egy már forgalomba hozott vagy már üzembe helyezett nagy kockázatú MI-rendszeren oly módon, hogy az a 6. cikkel összhangban továbbra is nagy kockázatú MI-rendszer marad;
c) jelentősen módosítják egy olyan MI-rendszer rendeltetését, beleértve az általános célú MI-rendszereket is, amelyet nem minősítettek nagy kockázatúnak, és amelyet már forgalomba hoztak vagy üzembe helyeztek, oly módon, hogy az érintett MI-rendszer a 6. cikkel összhangban nagy kockázatú MI-rendszerré válik;
(2) Amennyiben az (1) bekezdésben említett körülmények fennállnak, az MI-rendszert eredetileg forgalomba hozó vagy üzembe helyező szolgáltató e rendelet alkalmazása céljából többé nem tekinthető az adott konkrét MI-rendszer szolgáltatójának. Az említett eredeti szolgáltatónak szorosan együtt kell működnie az új szolgáltatókkal, és rendelkezésre kell bocsátania a szükséges információkat, valamint biztosítania kell az e rendeletben meghatározott kötelezettségek teljesítéséhez szükséges, észszerűen elvárható technikai hozzáférést és egyéb segítséget, különösen a nagy kockázatú MI-rendszerek megfelelőségértékelésének való megfelelés tekintetében. E bekezdés nem alkalmazandó azokban az esetekben, amikor az eredeti szolgáltató egyértelműen meghatározta, hogy MI-rendszerét nem szabad nagy kockázatú MI-rendszerré alakítani, és ezért az ilyen esetek nem tartoznak a dokumentáció átadására vonatkozó kötelezettség hatálya alá.
(3) Az olyan nagy kockázatú MI-rendszerek esetében, amelyek az I. melléklet A. szakaszában felsorolt uniós harmonizációs jogszabályok hatálya alá tartozó termékek biztonsági alkotórészei, a termék gyártóját kell a nagy kockázatú MI-rendszer szolgáltatójának tekinteni, és annak a 16. cikk szerinti kötelezettségek hatálya alá kell tartoznia a következő körülmények közül bármelyik esetében:
a) a nagy kockázatú MI-rendszert a termékkel együtt, a termék gyártójának neve vagy védjegye alatt hozzák forgalomba;
b) a nagy kockázatú MI-rendszert a termék gyártójának neve vagy védjegye alatt helyezik üzembe a termék forgalomba hozatalát követően.
(4) A nagy kockázatú MI-rendszer szolgáltatójának és a nagy kockázatú MI-rendszerben használt vagy abba integrált eszközöket, szolgáltatásokat, alkotóelemeket vagy folyamatokat szállító harmadik félnek írásbeli megállapodás révén, a technika általánosan elismert, mindenkori állása alapján meg kell határoznia a szükséges információkat, képességeket, technikai hozzáférést és egyéb segítséget, annak érdekében, hogy a nagy kockázatú MI-rendszer szolgáltatója teljes mértékben eleget tudjon tenni az e rendeletben foglalt kötelezettségeknek. Ez a bekezdés nem alkalmazandó azon harmadik felekre, akik az általános célú MI-modellektől eltérő eszközöket, szolgáltatásokat, folyamatokat vagy alkotóelemeket szabad és nyílt forráskódú licenc alapján tesznek nyilvánosan hozzáférhetővé.
Az MI-hivatal önkéntes mintafeltételeket dolgozhat ki és ajánlhat a nagy kockázatú MI-rendszerek szolgáltatói és a nagy kockázatú MI-rendszerekhez használt vagy azokba integrált eszközöket, szolgáltatásokat, alkotóelemeket vagy folyamatokat szolgáltató harmadik felek közötti szerződésekre vonatkozóan. Az említett önkéntes mintafeltételek kidolgozása során az MI-hivatalnak figyelembe kell vennie az egyes ágazatokban vagy konkrét üzleti esetekben alkalmazandó lehetséges szerződéses követelményeket. Az önkéntes mintafeltételeket könnyen használható elektronikus formátumban közzé kell tenni és díjmentesen elérhetővé kell tenni.
(5) A (2) és a (3) bekezdés nem sérti azt, hogy a szellemitulajdon-jogokat, a bizalmas üzleti információkat és az üzleti titkokat az uniós és a nemzeti joggal összhangban tiszteletben kell tartani és védeni kell.
26. cikk
A nagy kockázatú MI-rendszerek alkalmazóinak kötelezettségei
(1) A nagy kockázatú MI-rendszerek alkalmazóinak megfelelő technikai és szervezési intézkedéseket kell tenniük annak biztosítására, hogy ezeket a rendszereket a (3) és (6) bekezdés szerint, a rendszerekhez mellékelt használati utasításoknak megfelelően használják.
(2) Az alkalmazóknak az emberi felügyeletet olyan természetes személyekre kell bízniuk, akik rendelkeznek a szükséges szakértelemmel, képzéssel és hatáskörrel, valamint a szükséges támogatással.
(3) Az (1) és a (2) bekezdésben meghatározott kötelezettségek nem sértik az uniós vagy nemzeti jog szerinti egyéb alkalmazói kötelezettségeket, valamint az alkalmazó azon szabadságát, hogy a szolgáltató által megjelölt emberi felügyeleti intézkedések végrehajtása céljából megszervezze saját erőforrásait és tevékenységeit.
(4) Az (1) és a (2) bekezdés sérelme nélkül, amennyiben az alkalmazó ellenőrzést gyakorol a bemeneti adatok felett, ezen alkalmazónak biztosítania kell, hogy a bemeneti adatok relevánsak és kellően reprezentatívak legyenek a nagy kockázatú MI-rendszer rendeltetése szempontjából.
(5) Az alkalmazóknak a használati utasítások alapján nyomon kell követniük a nagy kockázatú MI-rendszer működését, és adott esetben a 72. cikknek megfelelően tájékoztatniuk kell a szolgáltatót. Amennyiben az alkalmazóknak okuk van úgy megítélni, hogy a nagy kockázatú MI-rendszer utasításoknak megfelelő használata azt eredményezheti, hogy az említett MI-rendszer a 79. cikk (1) bekezdésének értelmében vett kockázatot jelent, erről indokolatlan késedelem nélkül tájékoztatniuk kell a szolgáltatót vagy a forgalmazót, valamint a releváns piacfelügyeleti hatóságot, és fel kell függeszteniük az említett rendszer használatát. Amennyiben az alkalmazók súlyos váratlan eseményt azonosítottak, haladéktalanul tájékoztatniuk kell először a szolgáltatót, majd az importőrt vagy a forgalmazót és a releváns piacfelügyeleti hatóságokat is az említett eseményről. Ha az alkalmazó nem tudja elérni a szolgáltatót, a 73. cikket kell értelemszerűen alkalmazni. Ez a kötelezettség nem terjed ki az MI-rendszerek azon alkalmazóinak érzékeny operatív adataira, amelyek bűnüldöző hatóságok.
Azon alkalmazók esetében, amelyek a pénzügyi szolgáltatásokra vonatkozó uniós jog értelmében a belső irányításukra, szabályaikra vagy eljárásaikra vonatkozó követelmények hatálya alá tartozó pénzügyi intézmények, az első albekezdésben meghatározott nyomonkövetési kötelezettséget a pénzügyi szolgáltatásokra vonatkozó releváns jog szerinti, a belső irányítási rendszerekre, eljárásokra és mechanizmusokra vonatkozó szabályoknak való megfeleléssel teljesítettnek kell tekinteni.
(6) A nagy kockázatú MI-rendszerek alkalmazóinak meg kell őrizniük az adott nagy kockázatú MI-rendszer által automatikusan generált naplókat, amennyiben az ilyen naplók az ellenőrzésük alatt állnak a nagy kockázatú MI-rendszer rendeltetésének megfelelő - legalább hat hónapos - időtartamig, kivéve, ha az alkalmazandó uniós vagy nemzeti jog, különösen a személyes adatok védelmére vonatkozó uniós jog másként rendelkezik.
Azon alkalmazóknak, amelyek a pénzügyi szolgáltatásokra vonatkozó uniós jog értelmében a belső irányításukra, szabályaikra vagy eljárásaikra vonatkozó követelmények hatálya alá tartozó pénzügyi intézmények, a naplót a pénzügyi szolgáltatásokra vonatkozó megfelelő uniós jog alapján vezetett dokumentáció részeként kell megőrizniük.
(7) A nagy kockázatú MI-rendszer munkahelyi üzembe helyezése vagy használata előtt azon alkalmazóknak, akik munkáltatók, tájékoztatniuk kell a munkavállalók képviselőit és az érintett munkavállalókat arról, hogy esetükben nagy kockázatú MI-rendszer használatára fog sor kerülni. Ezt a tájékoztatást adott esetben a munkavállalók és képviselőik tájékoztatására vonatkozó uniós és nemzeti jogban és gyakorlatban megállapított szabályokkal és eljárásokkal összhangban kell megadni.
(8) A nagy kockázatú MI-rendszerek alkalmazói, amennyiben azok hatóságok vagy uniós intézmények, szervek, hivatalok vagy ügynökségek, eleget tesznek a 49. cikkben említett nyilvántartási kötelezettségeknek. Amennyiben az ilyen alkalmazók megállapítják, hogy az általuk használni kívánt nagy kockázatú MI-rendszer nincs nyilvántartva a 71. cikkben említett uniós adatbázisban, nem használhatják az adott rendszert, és erről tájékoztatják a szolgáltatót vagy a forgalmazót.
(9) A nagy kockázatú MI-rendszerek alkalmazóinak az e rendelet 13. cikke szerint megadott információkat - adott esetben - arra kell használniuk, hogy eleget tegyenek az (EU) 2016/679 rendelet 35. cikke vagy adott esetben az (EU) 2016/680 irányelv 27. cikke szerinti, adatvédelmi hatásvizsgálat elvégzésére vonatkozó kötelezettségüknek.
(10) Az (EU) 2016/680 irányelv sérelme nélkül, a bűncselekmény elkövetésével gyanúsított vagy a miatt elítélt személyek célzott felkutatására irányuló nyomozás keretében a nem valós idejű távoli biometrikus azonosításra szolgáló, nagy kockázatú MI-rendszert alkalmazó személynek előzetesen vagy indokolatlan késedelem nélkül, de legkésőbb 48 órán belül engedélyt kell kérnie az adott rendszer használatára valamely igazságügyi hatóságtól vagy közigazgatási hatóságtól, amelynek határozata kötelező erejű és bírósági felülvizsgálat tárgyát képezi, kivéve, ha azt egy potenciális gyanúsítottnak a bűncselekményhez közvetlenül kapcsolódó objektív és ellenőrizhető tényeken alapuló kezdeti azonosítására használják. Minden felhasználásnak az adott bűncselekmény nyomozásához feltétlenül szükséges mértékre kell korlátozódnia.
Ha az első albekezdés szerint kérelmezett engedélyt elutasítják, a kért engedélyhez kapcsolódó, nem valós idejű távoli biometrikus azonosító rendszer használatát azonnali hatállyal le kell állítani, és törölni kell az azon nagy kockázatú MI-rendszer használatához kapcsolódó személyes adatokat, amelyre az engedélyt kérték.
Az ilyen, nem valós idejű távoli biometrikus azonosításra szolgáló, nagy kockázatú MI-rendszert semmilyen esetben sem szabad nem célzott módon bűnüldözési célokra használni bűncselekményhez, büntetőeljáráshoz, bűncselekmény tényleges és valós vagy előre látható veszélyéhez vagy egy konkrét eltűnt személy felkutatásához való kapcsolódás nélkül. Biztosítani kell, hogy a bűnüldöző hatóságok ne hozhassanak kizárólag a nem valós idejű távoli biometrikus azonosító rendszer által adott eredmény alapján olyan döntést, amely egy személyre nézve kedvezőtlen joghatással jár.
Ez a bekezdés nem sérti az (EU) 2016/679 rendelet 9. cikkét és az (EU) 2016/680 irányelv 10. cikkét a biometrikus adatok feldolgozása tekintetében.
Az ilyen, nagy kockázatú MI-rendszerek minden egyes használatát a vonatkozó rendőrségi nyilvántartásban - a célra vagy az alkalmazóra való tekintet nélkül - dokumentálni kell, és kérésre az érintett piacfelügyeleti hatóság és a nemzeti adatvédelmi hatóság rendelkezésére kell bocsátani, kivéve a bűnüldözéssel kapcsolatos érzékeny operatív adatok közzétételét. Ez az albekezdés nem sérti az (EU) 2016/680 irányelv által a felügyeleti hatóságokra ruházott hatásköröket.
Az alkalmazóknak éves jelentéseket kell benyújtaniuk az érintett piacfelügyeleti és nemzeti adatvédelmi hatóságok számára a nem valós idejű távoli biometrikus azonosító rendszerek általuk történő használatáról, kivéve a bűnüldözéssel kapcsolatos érzékeny operatív adatok közzétételét. A jelentések összevonhatók úgy, hogy azok egynél többszöri alkalmazásra is kiterjedjenek.
A tagállamok az uniós joggal összhangban szigorúbb jogszabályokat is bevezethetnek a nem valós idejű távoli biometrikus azonosító rendszerek használatára vonatkozóan.
(11) E rendelet 50. cikkének sérelme nélkül, a III. mellékletben említett, természetes személyekkel kapcsolatos döntéseket hozó vagy az ilyen döntések meghozatalában segítséget nyújtó, nagy kockázatú MI-rendszerek alkalmazóinak tájékoztatniuk kell a természetes személyeket arról, hogy esetükben nagy kockázatú MI-rendszert használnak. A bűnüldözési célokra használt nagy kockázatú MI-rendszerek esetében alkalmazni kell az (EU) 2016/680 irányelv 13. cikkét.
(12) Az alkalmazóknak együtt kell működniük a releváns illetékes hatóságokkal a nagy kockázatú MI-rendszerrel kapcsolatos minden olyan intézkedés tekintetében, amelyeket a hatóságok e rendelet végrehajtása érdekében hoznak.
27. cikk
A nagy kockázatú MI-rendszerekre vonatkozó alapvetőjogi hatásvizsgálat
(1) A 6. cikk (2) bekezdésében említett nagy kockázatú MI-rendszer bevezetését megelőzően - a III. melléklet 2. pontjában felsorolt területen való használatra szánt nagy kockázatú MI-rendszerek kivételével - azon alkalmazóknak, amelyek közjogi szervek vagy közszolgáltatásokat nyújtó magánszervezetek, valamint a III. melléklet 5. pontjának b) és c) alpontjában említett nagy kockázatú MI-rendszerek alkalmazóinak értékelniük kell azon hatást, amelyet az ilyen rendszerek használata az alapvető jogokra gyakorolhat. E célból az alkalmazóknak értékelést kell végezniük, amely a következőkből áll:
a) az alkalmazó azon folyamatainak leírása, amelyekben a nagy kockázatú MI-rendszert a rendeltetésének megfelelően fogják használni;
b) azon időszak és gyakoriság leírása, amelyen belül és amellyel az egyes nagy kockázatú MI-rendszereket használni szándékoznak;
c) a természetes személyek és csoportok azon kategóriái, akiket a rendszer használata az adott kontextusban valószínűleg érint;
d) az e bekezdés c) pontja alapján azonosított természetes személyek vagy személycsoportok kategóriáira valószínűleg hatást gyakorló konkrét kárkockázatok, figyelembe véve a szolgáltató által a 13. cikk szerint nyújtott információkat;
e) az emberi felügyeleti intézkedések végrehajtásának leírása, a használati utasításnak megfelelően;
f) az említett kockázatok bekövetkezése esetén meghozandó intézkedések, ideértve a belső irányítási és panasztételi mechanizmusokra vonatkozó szabályokat.
(2) Az (1) bekezdésben megállapított kötelezettség a nagy kockázatú MI-rendszer első használatára vonatkozik. Az alkalmazó hasonló esetekben támaszkodhat a korábban elvégzett alapjogi hatásvizsgálatokra vagy a szolgáltatók által már elvégzett, meglévő hatásvizsgálatokra. Amennyiben a nagy kockázatú MI-rendszer használata során az alkalmazó úgy ítéli meg, hogy az (1) bekezdésben felsorolt elemek bármelyike megváltozott vagy már nem naprakész, az alkalmazónak meg kell tennie a szükséges lépéseket az információk aktualizálására.
(3) Az e cikk (1) bekezdésében említett értékelés elvégzését követően az alkalmazónak értesítenie kell a piacfelügyeleti hatóságot annak eredményeiről, az értesítés részeként benyújtva az e cikk (5) bekezdésében említett kitöltött kérdőívmintát is. A 46. cikk (1) bekezdésében említett esetben az alkalmazók mentesíthetők ezen értesítési kötelezettség alól.
(4) Ha az (EU) 2016/679 rendelet 35. cikke vagy az (EU) 2016/680 irányelv 27. cikke alapján elvégzett adatvédelmi hatásvizsgálat révén már megfeleltek az e cikkben megállapított kötelezettségek bármelyikének, az e cikk (1) bekezdésében említett alapvetőjogi hatásvizsgálatnak ki kell egészítenie az említett adatvédelmi hatásvizsgálatot.
(5) Az MI-hivatal - többek között egy automatizált eszköz révén - kérdőívmintát dolgoz ki, hogy megkönnyítse az alkalmazók számára az e cikk szerinti kötelezettségeiknek egyszerűsített módon való megfelelést.
4. SZAKASZ
Bejelentő hatóságok és bejelentett szervezetek
28. cikk
Bejelentő hatóságok
(1) Minden tagállam kijelöl vagy létrehoz legalább egy bejelentő hatóságot, amely a megfelelőségértékelő szervezetek értékeléséhez, kijelöléséhez és bejelentéséhez, valamint nyomon követéséhez szükséges eljárások kialakításáért és végrehajtásáért felel. Az említett eljárásokat valamennyi tagállam bejelentő hatóságainak együttműködésével kell kidolgozni.
(2) A tagállamok dönthetnek úgy, hogy az (1) bekezdésben említett értékelést és nyomon követést egy, a 765/2008/EK rendelet szerinti nemzeti akkreditáló testület végzi el az említett rendelet rendelkezéseivel összhangban.
(3) A bejelentő hatóságokat úgy kell létrehozni, megszervezni és működtetni, hogy ne merülhessen fel összeférhetetlenség a megfelelőségértékelő szervezetekkel, továbbá hogy tevékenységük objektivitása és pártatlansága biztosított legyen.
(4) A bejelentő hatóságokat úgy kell megszervezni, hogy a megfelelőségértékelő szervezet bejelentésével kapcsolatos döntéseket az adott szervezet értékelését végzőktől eltérő illetékes személyek hozzák meg.
(5) A bejelentő hatóságok kereskedelmi vagy piaci alapon nem kínálhatnak vagy végezhetnek sem olyan tevékenységet, amelyet megfelelőségértékelő szervezetek végeznek, sem szaktanácsadási szolgáltatást.
(6) A bejelentő hatóságoknak a 78. cikkel összhangban meg kell őrizniük az általuk kapott információk bizalmas jellegét.
(7) A bejelentő hatóságoknak megfelelő létszámú hozzáértő személyzettel kell rendelkezniük ahhoz, hogy megfelelően elláthassák feladataikat. A hozzáértő személyzetnek adott esetben rendelkeznie kell a feladatai ellátásához szükséges szakértelemmel olyan területeken, mint az információtechnológiák, a mesterséges intelligencia és a jog, beleértve az alapvető jogok felügyeletét is.
29. cikk
A megfelelőségértékelő szervezet bejelentés iránti kérelme
(1) A megfelelőségértékelő szervezetnek bejelentés iránti kérelmet kell benyújtania a letelepedési helye szerinti tagállam bejelentő hatóságához.
(2) A bejelentés iránti kérelemhez csatolnia kell azon megfelelőségértékelési tevékenységek, megfelelőségértékelési modul vagy modulok és MI-rendszertípusok leírását, amelyek tekintetében a megfelelőségértékelő szervezet szakmailag alkalmasnak tekinti magát, továbbá - amennyiben van ilyen - a nemzeti akkreditáló testület által kiállított akkreditálási okiratot, amely tanúsítja, hogy a megfelelőségértékelő szervezet teljesíti a 31. cikkben megállapított követelményeket.
Csatolni kell minden érvényes, a kérelmező bejelentett szervezet bármely egyéb uniós harmonizációs jogszabály szerinti, meglévő kijelöléseivel kapcsolatos dokumentumot.
(3) Amennyiben az érintett megfelelőségértékelő szervezet nem tud akkreditálási okiratot benyújtani, be kell nyújtania a bejelentő hatóság számára a 31. cikkben megállapított követelményeknek való megfelelésének ellenőrzéséhez, elismeréséhez és rendszeres nyomon követéséhez szükséges valamennyi igazoló okmányt.
(4) A bármely egyéb uniós harmonizációs jogszabály alapján kijelölt bejelentett szervezetek esetében az említett kijelölésekhez kapcsolódó valamennyi dokumentum és tanúsítvány felhasználható adott esetben az e rendelet szerinti kijelölésükre irányuló eljárás alátámasztására. A bejelentett szervezet az e cikk (2) és (3) bekezdésében említett dokumentációt minden releváns változás esetén naprakésszé teszi annak érdekében, hogy lehetővé tegye a bejelentett szervezetekért felelős hatóság számára a 31. cikkben megállapított valamennyi követelménynek való folyamatos megfelelés nyomon követését és ellenőrzését.
30. cikk
Bejelentési eljárás
(1) A bejelentő hatóságok csak olyan megfelelőségértékelő szervezeteket jelenthetnek be, amelyek megfelelnek a 31. cikkben megállapított követelményeknek.
(2) A bejelentő hatóságok a Bizottság által kifejlesztett és kezelt elektronikus bejelentési eszköz alkalmazásával értesítik a Bizottságot és a többi tagállamot az (1) bekezdésben említett minden egyes megfelelőségértékelő szervezetről.
(3) Az e cikk (2) bekezdésében említett bejelentésnek tartalmaznia kell részletes információkat a megfelelőségértékelési tevékenységekről, a megfelelőségértékelési modulról vagy modulokról, az érintett MI-rendszerek típusairól, valamint a szakmai alkalmasság releváns igazolását. Amennyiben a bejelentés nem a 29. cikk (2) bekezdésében említett akkreditálási okiraton alapul, a bejelentő hatóságnak rendelkezésre kell bocsátania a Bizottság és a többi tagállam számára a megfelelőségértékelő szervezet alkalmasságát és azon meglévő intézkedéseket igazoló dokumentumokat, amelyeknek biztosítják, hogy az említett szervezetet rendszeresen nyomon fogják követni, és azt, hogy az továbbra is meg fog felelni a 31. cikkben megállapított követelményeknek.
(4) Az érintett megfelelőségértékelő szervezet csak akkor végezheti egy bejelentett szervezet tevékenységeit, ha a Bizottság és a többi tagállam nem emel kifogást a bejelentő hatóság általi bejelentést követő két héten belül, amennyiben a bejelentés a 29. cikk (2) bekezdése szerinti akkreditálási okiratot tartalmaz, vagy a bejelentő hatóság általi bejelentést követő két hónapon belül, amennyiben a bejelentés a 29. cikk (3) bekezdése szerinti igazoló dokumentumot tartalmaz.
(5) Amennyiben kifogást emelnek, a Bizottság haladéktalanul konzultációkat kezdeményez a releváns tagállamokkal és a megfelelőségértékelő szervvel. Erre figyelemmel a Bizottság dönt arról, hogy az engedély indokolt-e. A Bizottság döntését az érintett tagállamnak és a releváns megfelelőségértékelő szervnek címezi.
31. cikk
A bejelentett szervezetekre vonatkozó követelmények
(1) A bejelentett szervezeteket a tagállamok nemzeti joga alapján kell létrehozni, és azoknak jogi személyiséggel kell rendelkezniük.
(2) A bejelentett szervezeteknek eleget kell tenniük azoknak a szervezeti, minőségirányítási, erőforrásokra vonatkozó és eljárási követelményeknek, amelyek a feladataik ellátásához szükségesek, valamint megfelelő kiberbiztonsági követelményeket kell teljesíteniük.
(3) A bejelentett szervezetek szervezeti felépítésének, a szervezeten belül a felelősségi körök kijelölésének, a jelentési útvonalaknak és a bejelentett szervezetek működésének biztosítania kell a bejelentett szervezet által végzett megfelelőségértékelési tevékenységek elvégzése és az e tevékenységek eredményei iránti bizalmat.
(4) A bejelentett szervezeteknek függetlennek kell lenniük azon nagy kockázatú MI-rendszer szolgáltatójától, amellyel kapcsolatban megfelelőségértékelési tevékenységeket végeznek. A bejelentett szervezeteknek továbbá függetlennek kell lenniük az értékelés tárgyát képező nagy kockázatú MI-rendszerben gazdasági érdekeltséggel rendelkező bármely egyéb üzemeltetőtől, valamint a szolgáltató versenytársaitól is. Ez nem zárhatja ki az olyan értékelt nagy kockázatú MI-rendszerek használatát, amelyek a megfelelőségértékelő szervezet működéséhez szükségesek, illetve az ilyen nagy kockázatú MI-rendszerek személyes célra történő használatát.
(5) Sem a megfelelőségértékelő szervezet, sem annak felső szintű vezetése, sem a megfelelőségértékelési feladatok elvégzéséért felelős személyzete nem vehet részt közvetlenül a nagy kockázatú MI-rendszerek tervezésében, fejlesztésében, forgalmazásában vagy használatában, és nem képviselhetik az ilyen tevékenységekben részt vevő feleket sem. Nem folytathatnak olyan tevékenységet, amely ellentétes lehet a bejelentett megfelelőségértékelési tevékenységekkel kapcsolatos döntéshozói függetlenségükkel vagy feddhetetlenségükkel. Ez különösen érvényes a szaktanácsadási szolgáltatásokra.
(6) A bejelentett szervezetet úgy kell megszervezni és működtetni, hogy tevékenységeinek függetlensége, objektivitása és pártatlansága biztosított legyen. A bejelentett szervezeteknek olyan struktúrát és eljárásokat kell dokumentálniuk és alkalmazniuk, amelyek a szervezetük, a személyzetük és az értékelési tevékenységeik egészében biztosítják a pártatlanság megőrzését, valamint a pártatlanság elveinek az előmozdítását és alkalmazását.
(7) A bejelentett szervezeteknek dokumentált eljárásokkal kell rendelkezniük, amelyek biztosítják, hogy a személyzetük, a bizottságaik, a leányvállalataik, az alvállalkozóik és bármely velük kapcsolatban álló szervezet vagy külső szervezetek munkavállalói - a 78. cikknek megfelelően - tiszteletben tartsák azon információk bizalmasságát, amelyek a megfelelőségértékelési tevékenységek végzése során a birtokukba kerülnek, kivéve, ha azok közzétételét jogszabály írja elő. A bejelentett szervezetek személyzetének be kell tartania a szakmai titoktartás követelményeit minden olyan információ tekintetében, amely az e rendeletben foglalt feladataik végrehajtása során jutott a birtokába, kivéve annak a tagállamnak a bejelentő hatóságaival szemben, ahol a bejelentett szervezetek tevékenységüket végzik.
(8) A bejelentett szervezeteknek a tevékenységek ellátásához olyan eljárásokkal kell rendelkezniük, amelyek kellően figyelembe veszik a szolgáltató méretét, azon ágazatot, amelyben az működik, annak szerkezetét és az érintett MI-rendszer összetettségi fokát.
(9) A bejelentett szervezeteknek megfelelőségértékelési tevékenységeikre megfelelő felelősségbiztosítást kell kötniük, kivéve, ha a felelősséget a nemzeti jognak megfelelően az a tagállam vállalja, amelyben a bejelentett szervezet letelepedett, vagy ha az említett tagállam közvetlenül maga felelős a megfelelőségértékelésért.
(10) A bejelentett szervezeteknek képesnek kell lenniük az e rendelet szerinti valamennyi feladatukat a legmagasabb fokú szakmai feddhetetlenséggel és a konkrét területen megkövetelt alkalmassággal végezni, függetlenül attól, hogy az említett feladatokat a bejelentett szervezetek maguk végzik-e, vagy az ő nevükben és felelősségi körükben eljárva mások végzik-e.
(11) A bejelentett szervezeteknek elegendő belső szakértelemmel kell rendelkezniük ahhoz, hogy hatékonyan értékelni tudják a külső felek által a nevükben elvégzett feladatokat. A bejelentett szervezetnek állandó jelleggel elegendő olyan adminisztratív, műszaki, jogi és tudományos munkatárssal kell rendelkeznie, akik tapasztalattal és ismeretekkel rendelkeznek a vonatkozó MI-rendszertípusokkal, adatokkal és adatszámítással, valamint a 2. szakaszban foglalt követelményekkel kapcsolatban.
(12) A bejelentett szervezeteknek részt kell venniük a 38. cikkben említett koordinációs tevékenységekben. Emellett közvetlenül részt kell venniük vagy képviseltetni kell magukat az európai szabványügyi szervezetekben, vagy gondoskodniuk kell arról, hogy tisztában legyenek a vonatkozó szabványokkal, és naprakész ismeretekkel rendelkezzenek ezekről.
32. cikk
A bejelentett szervezetekre vonatkozó követelményeknek való megfelelés vélelme
Amennyiben valamely megfelelőségértékelő szervezet igazolja, hogy megfelel az olyan vonatkozó harmonizált szabványokban vagy azok részeiben rögzített kritériumoknak, amelyek hivatkozásait közzétették az Európai Unió Hivatalos Lapjában, vélelmezni kell, hogy megfelel a 31. cikkben foglalt követelményeknek, amennyiben az alkalmazandó harmonizált szabványok kiterjednek az említett követelményekre.
33. cikk
A bejelentett szervezetek leányvállalatai és tevékenységek alvállalkozásba adása
(1) Amennyiben valamely bejelentett szervezet megfelelőségértékeléssel kapcsolatos, konkrét feladatokat alvállalkozásba ad, vagy leányvállalatot bíz meg elvégzésükkel, biztosítania kell, hogy az alvállalkozó vagy a leányvállalat megfeleljen a 31. cikkben megállapított követelményeknek, és ennek megfelelően tájékoztatnia kell erről a bejelentő hatóságot.
(2) A bejelentett szervezeteknek teljes felelősséget kell vállalniuk a bármely alvállalkozó vagy leányvállalat által elvégzett feladatokért.
(3) A tevékenységeket csak a szolgáltató beleegyezésével lehet alvállalkozásba adni vagy leányvállalattal elvégeztetni. A bejelentett szervezeteknek nyilvánosan hozzáférhetővé kell tenniük leányvállalataik jegyzékét.
(4) Az alvállalkozó vagy a leányvállalat képesítésének értékelésére és az általuk e rendelet alapján elvégzett munkára vonatkozó releváns dokumentumokat az alvállalkozói tevékenység megszüntetésének időpontjától számított öt évig a bejelentő hatóság számára elérhetővé kell tenni.
34. cikk
A bejelentett szervezetek működési kötelezettségei
(1) A bejelentett szervezeteknek a 43. cikkben meghatározott megfelelőségértékelési eljárásokkal összhangban ellenőrizniük kell a nagy kockázatú MI-rendszerek megfelelőségét.
(2) A bejelentett szervezeteknek tevékenységeik végzése során el kell kerülniük, hogy szükségtelen terheket rójanak a szolgáltatókra, és kellően figyelembe kell venniük a szolgáltató méretét, az ágazatot, amelyben működik, a szolgáltató szerkezetét és az érintett nagy kockázatú MI-rendszer összetettségi fokát, különösen a 2003/361/EK ajánlás értelmében vett mikro- és kisvállalkozások adminisztratív terheinek és megfelelési költségeinek minimalizálására tekintettel. A bejelentett szervezetnek mindazonáltal tiszteletben kell tartania az ahhoz szükséges szigorúság mértékét és védelem szintjét, hogy a nagy kockázatú MI-rendszer megfeleljen e rendelet követelményeinek.
(3) A bejelentett szervezetek - kérésre - a 28. cikkben említett bejelentő hatóság számára rendelkezésre bocsátanak és benyújtanak minden releváns dokumentációt, ideértve a szolgáltatók dokumentációját is, hogy lehetővé tegyék az említett hatóság számára az értékelési, kijelölési, bejelentési és nyomonkövetési tevékenységei elvégzését, továbbá, hogy elősegítsék az e szakaszban vázolt értékelést.
35. cikk
A bejelentett szervezetek azonosító száma és jegyzéke
(1) A Bizottság minden egyes bejelentett szervezethez egyetlen azonosító számot rendel, még akkor is, ha egy szervezetet egynél több uniós jogi aktus alapján jelentenek be.
(2) A Bizottság nyilvánosan közzéteszi az e rendelet szerint bejelentett szervezetek jegyzékét, ideértve az azonosító számukat és azon tevékenységeket, amelyek tekintetében azokat bejelentették. A Bizottság biztosítja, hogy a jegyzéket naprakészen tartsák.
36. cikk
A bejelentések változásai
(1) A bejelentő hatóságok - a 30. cikk (2) bekezdésében említett elektronikus bejelentési eszközön keresztül - értesítik a Bizottságot és a többi tagállamot a bejelentett szervezet bejelentésében bekövetkezett minden releváns változásról.
(2) A bejelentés hatályának kiterjesztésére a 29. és a 30. cikkben megállapított eljárásokat kell alkalmazni.
A bejelentést érintő, a hatályának kiterjesztésétől eltérő változásokra a (3)-(9) bekezdésben megállapított eljárásokat kell alkalmazni.
(3) Amennyiben egy bejelentett szervezet úgy dönt, hogy megszünteti a megfelelőségértékelési tevékenységeit, a lehető leghamarabb - és tervezett megszüntetés esetén a tevékenységeinek megszüntetését megelőzően legalább egy évvel - tájékoztatja a bejelentő hatóságot és az érintett szolgáltatókat. A bejelentett szervezet tanúsítványai a bejelentett szervezet tevékenységeinek megszüntetését követő kilenc hónapos időszakra érvényesek maradhatnak, feltéve, hogy egy másik bejelentett szervezet írásban megerősítette, hogy vállalni fogja a felelősséget az említett tanúsítványok hatálya alá tartozó nagy kockázatú MI-rendszerekért. Az utóbbi bejelentett szervezet az említett kilenc hónapos időszak végéig elvégzi az érintett nagy kockázatú MI-rendszerek teljes értékelését, mielőtt új tanúsítványokat adna ki az említett rendszerekre vonatkozóan. Amennyiben a bejelentett szervezet megszüntette tevékenységét, a bejelentő hatóság visszavonja a kijelölést.
(4) Amennyiben a bejelentő hatóságnak elegendő oka van úgy megítélni, hogy valamely bejelentett szervezet már nem felel meg a 31. cikkben megállapított követelményeknek, vagy elmulasztja teljesíteni a kötelezettségeit, a bejelentő hatóság a lehető legnagyobb gondossággal kivizsgálja az ügyet. Ezzel összefüggésben tájékoztatja az érintett bejelentett szervezetet a felmerült kifogásokról, és lehetőséget biztosít számára álláspontjának ismertetésére. Ha a bejelentő hatóság arra a következtetésre jut, hogy a bejelentett szervezet már nem felel meg a 31. cikkben megállapított követelményeknek, vagy elmulasztja teljesíteni a kötelezettségeit, adott esetben - az említett követelményeknek való megfelelés vagy az említett kötelezettségek teljesítése elmulasztásának súlyosságától függően - korlátozza, felfüggeszti vagy visszavonja a kijelölést. A bejelentő hatóság ennek megfelelően haladéktalanul tájékoztatja a Bizottságot és a többi tagállamot.
(5) Amennyiben a kijelölését felfüggesztették, korlátozták, vagy részben vagy egészben visszavonták, a bejelentett szervezet 10 napon belül tájékoztatja az érintett szolgáltatókat.
(6) A kijelölés korlátozása, felfüggesztése vagy visszavonása esetén a bejelentő hatóság megfelelő lépéseket tesz annak biztosítására, hogy az érintett bejelentett szervezet dokumentumait megőrizzék, valamint más tagállamok bejelentő hatóságai és a piacfelügyeleti hatóságok számára - azok kérésére - rendelkezésre bocsássák.
(7) A kijelölés korlátozása, felfüggesztése vagy visszavonása esetén a bejelentő hatóság:
a) értékeli kell, hogy ez milyen hatással jár a bejelentett szervezet által kibocsátott tanúsítványokra nézve;
b) a kijelölést érintő változások bejelentésétől számított három hónapon belül jelentést nyújt be megállapításairól a Bizottság és a többi tagállam számára;
c) a piacon forgalmazott nagy kockázatú MI-rendszerek folyamatos megfelelőségének biztosítása érdekében előírja a bejelentett szervezet számára, hogy - a hatóság által meghatározott észszerű határidőn belül - függesszen fel vagy vonjon vissza minden jogtalanul kiadott tanúsítványt;
d) tájékoztatja a Bizottságot és a tagállamokat azon tanúsítványokról, amelyek felfüggesztését vagy visszavonását előírta;
e) megad a szolgáltató bejegyzett székhelye szerinti tagállam illetékes nemzeti hatóságainak minden releváns információt azon tanúsítványokról, amelyek felfüggesztését vagy visszavonását előírta; az említett hatóság szükség esetén meghozza a megfelelő intézkedéseket az egészséget, a biztonságot vagy az alapvető jogokat fenyegető potenciális kockázat elkerülése érdekében.
(8) A kijelölés felfüggesztése vagy korlátozása esetén a tanúsítványok - a jogtalanul kiállított tanúsítványok kivételével - érvényesek maradnak a következő körülmények egyikének esetén:
a) a bejelentő hatóság - a felfüggesztést vagy korlátozást követő egy hónapon belül - megerősítette, hogy a felfüggesztés vagy a korlátozás által érintett tanúsítványokkal kapcsolatban nem áll fenn az egészséget, a biztonságot vagy az alapvető jogokat fenyegető kockázat, és a bejelentő hatóság felvázolta a felfüggesztés vagy a korlátozás feloldását célzó intézkedések ütemezését; vagy
b) a bejelentő hatóság megerősítette, hogy a felfüggesztés vagy korlátozás folyamán nem fognak kiadni, módosítani vagy újra kiadni a felfüggesztés szempontjából releváns tanúsítványt, és kijelenti, hogy a bejelentett szervezet képes-e folytatni a felfüggesztés vagy a korlátozás időtartamára kiadott, meglévő tanúsítványok nyomon követését, és azokért továbbra is felelősséget vállalni; abban az esetben, ha a bejelentő hatóság megállapítja, hogy a bejelentett szervezet nem képes a kiadott, meglévő tanúsítványokat támogatni, a tanúsítvány hatálya alá tartozó rendszer szolgáltatójának a felfüggesztéstől vagy korlátozástól számított három hónapon belül írásban meg kell erősítenie a bejegyzett székhelye szerinti tagállam illetékes nemzeti hatóságai felé, hogy a felfüggesztés vagy a korlátozás időtartama alatt ideiglenesen egy másik minősített bejelentett szervezet vállalja a bejelentett szervezetnek a tanúsítványok nyomon követésére és az azokért való további felelősségvállalásra vonatkozó feladatait.
(9) A kijelölés visszavonása esetén a tanúsítványok - a jogtalanul kiállított tanúsítványok kivételével - a következő körülmények esetén kilenc hónapig érvényben maradnak:
a) a tanúsítvány hatálya alá tartozó nagy kockázatú MI-rendszer szolgáltatójának bejegyzett székhelye szerinti tagállam illetékes nemzeti hatósága megerősítette, hogy nem áll fenn az egészséget, a biztonságot vagy az alapvető jogokat fenyegető, az érintett nagy kockázatú MI-rendszerekkel kapcsolatos kockázat; és
b) egy másik bejelentett szervezet írásban megerősítette, hogy közvetlen felelősséget fog vállalni az említett MI-rendszerekért, és a kijelölés visszavonásától számított 12 hónapon belül elvégzi annak értékelését.
Az első albekezdésben említett körülmények esetén a tanúsítvány hatálya alá tartozó rendszer szolgáltatójának székhelye szerinti tagállam illetékes nemzeti hatósága további három hónapos időszakokkal - amelyek összességében nem haladhatják meg a 12 hónapot - meghosszabbíthatja a tanúsítványok ideiglenes érvényességét.
Az illetékes nemzeti hatóság vagy a kijelölés megváltozása által érintett bejelentett szervezet feladatait ellátó bejelentett szervezet erről haladéktalanul tájékoztatja a Bizottságot, a többi tagállamot és a többi bejelentett szervezetet.
37. cikk
A bejelentett szervezetek alkalmasságának vitatása
(1) A Bizottság szükség esetén kivizsgál minden olyan esetet, amikor okkal vonható kétségbe a bejelentett szervezet alkalmassága, vagy az, hogy a bejelentett szervezet folyamatosan teljesíti-e a 31. cikkben megállapított követelményeket és az alkalmazandó felelősségi köreit.
(2) A bejelentő hatóság - kérésre - megad a Bizottságnak minden, az érintett bejelentett szervezet bejelentésével vagy alkalmasságának fenntartásával kapcsolatos információt.
(3) A Bizottság biztosítja, hogy az e cikk alapján lefolytatott vizsgálatai során a birtokába jutott valamennyi érzékeny információt a 78. cikkel összhangban bizalmasan kezeljék.
(4) Amennyiben a Bizottság megbizonyosodik arról, hogy egy bejelentett szervezet nem vagy már nem tesz eleget a rá vonatkozó bejelentés követelményeinek, ennek megfelelően tájékoztatja a bejelentő tagállamot, és felkéri a szükséges korrekciós intézkedések megtételére, ideértve szükség esetén a bejelentés felfüggesztését vagy visszavonását is. Amennyiben a tagállam elmulasztja meghozni a szükséges korrekciós intézkedéseket, a Bizottság végrehajtási jogi aktus útján felfüggesztheti, korlátozhatja vagy visszavonhatja a kijelölést. Az említett végrehajtási jogi aktust a 98. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.
38. cikk
A bejelentett szervezetek koordinálása
(1) A Bizottság biztosítja, hogy - a nagy kockázatú MI-rendszerek tekintetében - az e rendelet szerinti megfelelőségértékelési eljárásokban részt vevő bejelentett szervezetek között megfelelő koordinációt és együttműködést vezessenek be és megfelelően működtessenek a bejelentett szervezetek ágazati csoportja formájában.
(2) Minden egyes bejelentő hatóságnak biztosítania kell, hogy az általa bejelentett szervezetek közvetlenül vagy kijelölt képviselőkön keresztül részt vegyenek az (1) bekezdésben említett csoport munkájában.
(3) A Bizottság gondoskodik az ismereteknek és a legjobb gyakorlatoknak a bejelentő hatóságok közötti cseréjéről.
39. cikk
Harmadik országok megfelelőségértékelő szervezetei
Az olyan harmadik ország joga szerint létrehozott megfelelőségértékelő szervezetek, amellyel az Unió megállapodást kötött, felhatalmazhatók a bejelentett szervezetek e rendelet szerinti tevékenységeinek elvégzésére, feltéve, hogy megfelelnek a 31. cikkben megállapított követelményeknek, vagy biztosítják az egyenértékű szintű megfelelőséget.
5. SZAKASZ
Szabványok, megfelelőségértékelés, tanúsítványok, regisztráció
40. cikk
Harmonizált szabványok és szabványosítási szabvány jellegű dokumentumok
(1) Azon nagy kockázatú vagy általános célú MI-rendszerekről, amelyek megfelelnek az olyan harmonizált szabványoknak vagy azok részeinek, amelyek hivatkozásait az 1025/2012/EU rendeletnek megfelelően közzétették az Európai Unió Hivatalos Lapjában, vélelmezni kell, hogy megfelelnek az e fejezet 2. szakaszában meghatározott követelményeknek, vagy adott esetben az e rendelet V. fejezetének 2. és 3. szakaszában meghatározott kötelezettségeknek, amennyiben az említett szabványok e követelményekre vagy kötelezettségekre kiterjednek.
(2) A Bizottság - az 1025/2012/EU rendelet 10. cikkével összhangban - indokolatlan késedelem nélkül bocsátja ki az e fejezet 2. szakaszában meghatározott valamennyi követelményre kiterjedő szabványosítási kérelmeket és adott esetben az e rendelet V. fejezetének 2. és 3. szakaszában meghatározott kötelezettségekre kiterjedő szabványosítási kérelmeket. A szabványosítási kérelemben kérni kell az MI-rendszerek erőforrás-teljesítményének javítását célzó jelentéstételi és dokumentációs folyamatokra - így például életciklusa során a nagy kockázatú MI-rendszer energia- és egyéb erőforrás-fogyasztásának csökkentésére -, valamint az általános célú MI-modellek energiahatékony fejlesztésére vonatkozó szabvány jellegű dokumentumokat is. A szabványosítási kérelem elkészítésekor a Bizottság konzultál a Testülettel és a releváns érdekelt felekkel, ideértve a tanácsadó fórumot is.
Az európai szabványügyi szervezeteknek címzett szabványosítási kérelem kiadásakor a Bizottság meghatározza, hogy a szabványoknak világosnak és konzisztensnek kell lenniük - többek között az I. mellékletben felsorolt meglévő uniós harmonizációs jogszabályok hatálya alá tartozó termékekre vonatkozóan a különböző ágazatokban kidolgozott szabványokkal -, és annak biztosítására kell irányulniuk, hogy az Unióban forgalomba hozott vagy üzembe helyezett nagy kockázatú MI-rendszerek vagy általános célú MI-modellek megfeleljenek az e rendeletben megállapított releváns követelményeknek vagy kötelezettségeknek.
A Bizottság az 1025/2012/EU rendelet 24. cikkének megfelelően felkéri az európai szabványügyi szervezeteket, hogy igazolják az e bekezdés első és második albekezdésében említett célkitűzések elérésére tett erőfeszítéseiket.
(3) A szabványosítási folyamat résztvevőinek törekedniük kell arra, hogy előmozdítsák az MI-vel kapcsolatos beruházásokat és innovációt - többek között a jogbiztonság, valamint az uniós piac versenyképességének és növekedésének fokozása révén -, hozzájáruljanak a szabványosítás terén folytatott globális együttműködés megerősítéséhez, valamint az MI területén meglévő, az uniós értékekkel, alapvető jogokkal és érdekekkel összhangban álló nemzetközi szabványok figyelembevételéhez, továbbá hogy javítsák a többszereplős irányítást, biztosítva az érdekek kiegyensúlyozott képviseletét és valamennyi érdekelt fél tényleges részvételét az 1025/2012/EU rendelet 5., 6. és 7. cikkével összhangban.
41. cikk
Közös előírások
(1) A Bizottság elfogadhat az e fejezet 2. szakaszában foglalt követelményekre vagy adott esetben az V. fejezetben 2. és 3. szakaszában meghatározott kötelezettségekre vonatkozó közös előírásokat megállapító végrehajtási jogi aktusokat, amennyiben teljesültek a következő feltételek:
a) a Bizottság az 1025/2012/EU rendelet 10. cikkének (1) bekezdése alapján felkért egy vagy több európai szabványügyi szervezetet az e fejezet 2. szakaszában foglalt követelményekre vagy - adott esetben - az V. fejezet 2. és 3. szakaszában foglalt kötelezettségekre vonatkozó harmonizált szabvány kidolgozására, és:
i. a felkérést egyik európai szabványügyi szervezet sem fogadta be; vagy
ii. a felkérés szerinti harmonizált szabványokat nem nyújtották be az 1025/2012/EU rendelet 10. cikkének (1) bekezdésének megfelelően meghatározott határidőn belül; vagy
iii. a vonatkozó harmonizált szabványok nem kezelnek kielégítő mértékben alapjogi aggályokat; vagy
iv. az említett szabványok nem felelnek meg a felkérésnek; és
b) az Európai Unió Hivatalos Lapjában nem tettek közzé - az 1025/2012/EU rendeletnek megfelelően - hivatkozást az e fejezet 2. szakaszában említett követelményekre vagy adott esetben az V. fejezet 2. és 3. szakaszában említett kötelezettségekre kiterjedő harmonizált szabványokra, és észszerű időn belül várhatóan nem is tesznek közzé ilyen hivatkozást.
A közös előírások kidolgozása során a Bizottság konzultál a 67. cikkben említett tanácsadó fórummal.
Az e bekezdés első albekezdésében említett végrehajtási jogi aktusokat a 98. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.
(2) A végrehajtási jogi aktus tervezetének kidolgozása előtt a Bizottság tájékoztatja az 1025/2012/EU rendelet 22. cikkében említett bizottságot arról, hogy megítélése szerint teljesülnek az e cikk (1) bekezdésében megállapított feltételek.
(3) Azon nagy kockázatú MI-rendszerekről vagy általános célú MI-modellekről, amelyek megfelelnek az (1) bekezdésben említett közös előírásoknak vagy ezen előírások egyes részeinek, azt kell vélelmezni, hogy megfelelnek az e fejezet 2. szakaszában meghatározott követelményeknek, vagy adott esetben megfelelnek az V. fejezet 2. és 3. szakaszában említett kötelezettségeknek, amennyiben az említett közös előírások az említett követelményekre vagy az említett kötelezettségekre is kiterjednek.
(4) Amennyiben valamely európai szabványügyi szervezet harmonizált szabványt fogad el, és javasolja a Bizottságnak, hogy arra vonatkozóan tegyen közzé hivatkozást az Európai Unió Hivatalos Lapjában, a Bizottság az 1025/2012/EU rendelettel összhangban értékeli a harmonizált szabványt. Amikor egy harmonizált szabvány hivatkozását közzéteszik az Európai Unió Hivatalos Lapjában, a Bizottság hatályon kívül helyezi az (1) bekezdésben említett végrehajtási jogi aktusokat vagy azok azon részeit, amelyek az e fejezet 2. szakaszában meghatározott ugyanazon követelményekre, vagy adott esetben az V. fejezet 2. és 3. szakaszában meghatározott ugyanazon kötelezettségekre vonatkoznak.
(5) Amennyiben a nagy kockázatú MI-rendszerek vagy az általános célú MI-modellek szolgáltatói nem felelnek meg az (1) bekezdésben említett közös előírásoknak, megfelelően igazolniuk kell, hogy olyan műszaki megoldásokat fogadtak el, amelyek - azokkal legalább egyenértékű szinten - megfelelnek az e fejezet 2. szakaszában említett követelményeknek, vagy adott esetben megfelelnek az V. fejezet 2. és 3. szakaszában meghatározott kötelezettségeknek.
(6) Amennyiben egy tagállam úgy ítéli meg, hogy valamely közös előírás nem felel meg teljes mértékben a 2. szakaszban meghatározott követelményeknek, vagy adott esetben nem felel meg teljes mértékben az V. fejezet 2. és 3. szakaszában meghatározott kötelezettségeknek, erről részletes magyarázatot mellékelve tájékoztatja a Bizottságot. A Bizottság értékeli az említett információkat, és adott esetben módosítja az érintett közös előírást megállapító végrehajtási jogi aktust.
42. cikk
A bizonyos követelményeknek való megfelelés vélelme
(1) Vélelmezni kell, hogy azok a nagy kockázatú MI-rendszerek, amelyeket azon konkrét földrajzi, viselkedési, kontextuális vagy funkcionális környezetet tükröző adatok alapján tanítottak be és teszteltek, amely környezeten belül használni kívánják őket, megfelelnek a 10. cikk (4) bekezdésében megállapított vonatkozó követelménynek.
(2) Azokról a nagy kockázatú MI-rendszerekről, amelyek tanúsítvánnyal rendelkeznek, vagy amelyekre az (EU) 2019/881 rendelet alapján valamely kiberbiztonsági rendszer keretében megfelelőségi nyilatkozatot adtak ki, és amelyek hivatkozásait közzétették az Európai Unió Hivatalos Lapjában, azt kell vélelmezni, hogy megfelelnek az e rendelet 15. cikkében foglalt kiberbiztonsági követelményeknek, amennyiben a kiberbiztonsági tanúsítvány vagy megfelelőségi nyilatkozat vagy annak részei e követelményekre is kiterjednek.
43. cikk
Megfelelőségértékelés
(1) A III. melléklet 1. pontjában felsorolt nagy kockázatú MI-rendszerek esetében, amennyiben valamely nagy kockázatú MI-rendszer a 2. szakaszban meghatározott követelményeknek való megfelelése igazolása során a szolgáltató a 40. cikkben említett harmonizált szabványokat, vagy adott esetben a 41. cikkben említett közös előírásokat alkalmazta, a szolgáltatónak a következőkön alapuló megfelelőségértékelési eljárások egyikét kell választania:
a) a VI. mellékletben említett belső ellenőrzés; vagy
b) a minőségirányítási rendszer és a műszaki dokumentáció valamely bejelentett szervezet bevonásával történő értékelése, a VII. mellékletben említettek szerint.
Annak igazolása során, hogy valamely nagy kockázatú MI-rendszer megfelel a 2. szakaszban foglalt követelményeknek, a szolgáltatónak a VII. mellékletben meghatározott megfelelőségértékelési eljárást kell követnie a következő esetekben:
a) a 40. cikkben említett harmonizált szabványok nem léteznek, és a 41. cikkben említett közös előírások nem állnak rendelkezésre;
b) a szolgáltató nem alkalmazta a harmonizált szabványt, vagy annak csak egy részét alkalmazta;
c) az a) pontban említett közös előírások léteznek, de a szolgáltató nem alkalmazta őket;
d) az a) pontban említett egy vagy több harmonizált szabványt korlátozással és csak a szabvány korlátozott részére tettek közzé.
A VII. mellékletben említett megfelelőségértékelési eljárás céljából a szolgáltató a bejelentett szervezetek bármelyikét választhatja. Azonban amennyiben a nagy kockázatú MI-rendszert bűnüldöző, bevándorlási vagy menekültügyi hatóságok, valamint uniós intézmények, szervek, hivatalok vagy ügynökségek szándékoznak üzembe helyezni, a 74. cikk (8) vagy - adott esetben - (9) bekezdésében említett piacfelügyeleti hatóságnak kell eljárnia bejelentett szervezetként.
(2) A III. melléklet 2-8. pontjában említett nagy kockázatú MI-rendszerek esetében a szolgáltatóknak a VI. mellékletben említett, belső ellenőrzésen alapuló megfelelőségértékelési eljárást kell követniük, amely nem rendelkezik bejelentett szervezet bevonásáról.
(3) Az I. melléklet A. szakaszában felsorolt uniós harmonizációs jogszabályok hatálya alá tartozó nagy kockázatú MI-rendszerek esetében a szolgáltatónak az említett jogi aktusokban előírt megfelelőségértékelést kell követnie. Az e fejezet 2. szakaszában foglalt követelményeket alkalmazni kell az említett nagy kockázatú MI-rendszerekre, és azoknak az említett értékelés részét kell képezniük. A VII. melléklet 4.3., 4.4., 4.5. pontja és 4.6. pontjának ötödik bekezdése szintén alkalmazandó.
Az értékelés céljából az említett jogi aktusok alapján bejelentett szervezeteket fel kell jogosítani annak ellenőrzésére, hogy a nagy kockázatú MI-rendszerek megfelelnek-e a 2. szakaszban foglalt követelményeknek, feltéve, hogy az említett bejelentett szervezeteknek a 31. cikk (4), (5), (10) és (11) bekezdésében megállapított követelményeknek való megfelelését az említett jogi aktusok szerinti bejelentési eljárás keretében értékelték.
Amennyiben az I. melléklet A. szakaszában felsorolt valamely jogi aktus lehetővé teszik a termék gyártója számára, hogy kimaradjon egy harmadik fél által végzett megfelelőségértékelésből, feltéve, hogy a gyártó a valamennyi releváns követelményre kiterjedő valamennyi harmonizált szabványt alkalmazta, az említett gyártó csak akkor élhet e lehetőséggel, ha harmonizált szabványokat vagy adott esetben a 41. cikkben említett, az e fejezet 2. szakaszában foglalt valamennyi követelményre kiterjedő közös előírásokat is alkalmazott.
(4) A megfelelőségértékelési eljárásnak korábban már alávetett nagy kockázatú MI-rendszereket új megfelelőségértékelési eljárásnak kell alávetni akkor, amikor lényeges módosításon mennek keresztül, függetlenül attól, hogy a módosított rendszert további forgalmazásra szánják-e, vagy azt a jelenlegi alkalmazó használja-e továbbra is;
Azon nagy kockázatú MI-rendszerek esetében, amelyek tanulása a forgalomba hozatalt vagy üzembe helyezést követően is folytatódik, a nagy kockázatú MI-rendszernek és teljesítményének - amelyeket a szolgáltató az első megfelelőségértékelés időpontjában előre meghatározott, és amelyek a IV. melléklet 2. pontjának f) alpontjában említett műszaki dokumentációban szereplő információk részét képezik - a megváltoztatása nem minősülhet jelentős módosításnak.
(5) A Bizottság felhatalmazást kap arra, hogy a 97. cikknek megfelelően felhatalmazáson alapuló jogi aktusokat fogad el abból a célból, hogy módosítsa a VI. és a VII. mellékletet, a műszaki fejlődés fényében naprakésszé.
(6) A Bizottság felhatalmazást kap arra, hogy a 97. cikknek megfelelően felhatalmazáson alapuló jogi aktusokat fogadjon el e cikk (1) és a (2) bekezdésének annak érdekében történő módosítása céljából, hogy a III. melléklet 2-8. pontjában említett nagy kockázatú MI-rendszereket a VII. mellékletben említett megfelelőségértékelési eljárás vagy az eljárás egyes részeinek hatálya alá vonja. A Bizottság ilyen, felhatalmazáson alapuló jogi aktusokat oly módon fogad el, hogy figyelembe veszi a VI. mellékletben említett belső ellenőrzésen alapuló megfelelőségértékelési eljárás hatékonyságát az ilyen rendszerek által az egészséget és a biztonságot érintő kockázatok megelőzése vagy minimálisra csökkentése, valamint az alapvető jogok védelme tekintetében, továbbá a megfelelő kapacitások és erőforrások rendelkezésre állását bejelentett szervezetek körében
44. cikk
Tanúsítványok
(1) A bejelentett szervezetek által a VII. mellékletnek megfelelően kibocsátott tanúsítványokat azon a nyelven kell kiadni, amelyet a bejelentett szervezet letelepedési helye szerinti tagállam érintett hatóságai könnyen megértenek.
(2) A tanúsítványok érvényessége a bennük feltüntetett időtartamra szól, amely nem haladhatja meg az öt évet az I. melléklet hatálya alá tartozó MI-rendszerek esetében, és a négy évet a III. melléklet hatálya alá tartozó MI-rendszerek esetében. A szolgáltató kérelmére a tanúsítvány érvényessége - az alkalmazandó megfelelőségértékelési eljárásokkal összhangban elvégzett felülvizsgálat alapján - további, egyenként öt évet meg nem haladó időszakokra meghosszabbítható az I. melléklet hatálya alá tartozó MI-rendszerek esetében, és egyenként négy évet meg nem haladó időszakokra a III. melléklet hatálya alá tartozó MI-rendszerek esetében. A tanúsítvány bármely kiegészítése érvényben marad feltéve, hogy az általa kiegészített tanúsítvány is érvényes.
(3) Amennyiben egy bejelentett szervezet megállapítja, hogy az MI-rendszer már nem tesz eleget a 2. szakaszban foglalt követelményeknek, az arányosság elvét figyelembe véve köteles felfüggeszteni vagy visszavonni a kiadott tanúsítványt, vagy korlátozásokat bevezetni a tanúsítványra vonatkozóan, kivéve, ha a rendszer szolgáltatója a bejelentett szervezet által meghatározott megfelelő határidőn belül megfelelő korrekciós intézkedéssel biztosítja az említett követelményeknek való megfelelést. A bejelentett szervezetnek meg kell indokolnia a döntését.
Biztosítani kell, hogy a bejelentett szervezetek határozatai ellen - ideértve a kiadott megfelelőségi tanúsítványokra vonatkozó határozatokat is - fellebbezési eljárás álljon rendelkezésre.
45. cikk
A bejelentett szervezetek tájékoztatási kötelezettségei
(1) A bejelentett szervezeteknek tájékoztatniuk kell a bejelentő hatóságot a következőkről:
a) a VII. melléklet követelményeivel összhangban kiállított, a műszaki dokumentáció értékelésére vonatkozó uniós tanúsítványok, azok kiegészítései, és a minőségirányítási rendszerre vonatkozó minden jóváhagyás;
b) a VII. melléklet követelményeivel összhangban kiállított, a műszaki dokumentáció értékelésére vonatkozó uniós tanúsítvány vagy a minőségirányítási rendszerre vonatkozó jóváhagyás elutasítása, korlátozása, felfüggesztése vagy visszavonása;
c) azok a körülmények, amelyek érinthetik a bejelentés hatályát vagy feltételeit;
d) a piacfelügyeleti hatóságoktól a megfelelőségértékelési tevékenységek kapcsán hozzájuk beérkezett valamennyi tájékoztatási kérelem;
e) kérésre a bejelentésük hatálya alá tartozó megfelelőségértékelési tevékenységek, valamint minden más elvégzett tevékenység, többek között a határon átnyúló tevékenységek és a tevékenységek alvállalkozásba adása.
(2) Minden bejelentett szervezetnek tájékoztatnia kell a többi bejelentett szervezetet a következőkről:
a) minőségirányítási rendszereknek a bejelentett szervezet által elutasított, felfüggesztett vagy visszavont jóváhagyásai, valamint kérésre a minőségbiztosítási rendszerek bejelentett szervezet által kiadott jóváhagyásai;
b) a bejelentett szervezet által elutasított, visszavont, felfüggesztett vagy más módon korlátozott, a műszaki dokumentáció értékelésére vonatkozó uniós tanúsítványok vagy azok kiegészítései, valamint - kérésre - az általa kiadott tanúsítványok és/vagy kiegészítések.
(3) Minden egyes bejelentett szervezetnek megfelelően tájékoztatnia kell az ugyanazokra az MI-rendszertípusokra vonatkozó, hasonló megfelelőségértékelési tevékenységeket végző más bejelentett szervezeteket a negatív és - kérésre - a pozitív megfelelőségértékelési eredményekről.
(4) A bejelentett szervezeteknek a 78. cikkel összhangban meg kell őrizniük az álaluk kapott információk bizalmas jellegét.
46. cikk
A megfelelőségértékelési eljárástól való eltérés
(1) A 43. cikktől eltérve és kellően indokolt kérésre bármely piacfelügyeleti hatóság engedélyezheti adott nagy kockázatú MI-rendszerek forgalomba hozatalát vagy üzembe helyezését az érintett tagállam területén, a közbiztonság vagy a személyek életének és egészségének védelmét, a környezetvédelmet, valamint a kulcsfontosságú ipari és infrastrukturális eszközök védelmét szolgáló rendkívüli okokból. Az engedély arra a korlátozott időtartamra szól, amíg elvégzik a szükséges megfelelőségértékelési eljárásokat, figyelembe véve az eltérést indokoló rendkívüli okokat. Ezen eljárások lefolytatását indokolatlan késedelem nélkül meg kell kezdeni.
(2) Rendkívüli közbiztonsági okokból felmerülő, kellően indokolt sürgős helyzetben vagy természetes személyek életét vagy fizikai biztonságát fenyegető konkrét, jelentős és közvetlen veszély esetén a bűnüldöző hatóságok vagy a polgári védelmi hatóságok az (1) bekezdésben említett engedély nélkül is üzembe helyezhetnek egy adott nagy kockázatú MI-rendszert, feltéve, hogy a használat során vagy azt követően - indokolatlan késedelem nélkül - kérnek ilyen engedélyt. Az (1) bekezdésben említett engedély elutasítása esetén a nagy kockázatú MI-rendszer használatát azonnali hatállyal le kell állítani, valamint e használat valamennyi eredményét és kimenetét azonnal meg kell semmisíteni.
(3) Az (1) bekezdésben említett engedély csak akkor adható ki, ha a piacfelügyeleti hatóság arra a következtetésre jut, hogy a nagy kockázatú MI-rendszer megfelel a 2. szakaszban foglalt követelményeknek. A piacfelügyeleti hatóságnak tájékoztatnia kell a Bizottságot és a többi tagállamot az (1) és a (2) bekezdés alapján kiadott bármely engedélyről. Ez a kötelezettség nem terjedhet ki a bűnüldöző hatóságok tevékenységeivel kapcsolatos érzékeny operatív adatokra.
(4) Amennyiben a (3) bekezdésben említett tájékoztatás kézhezvételétől számított 15 naptári napon belül egyik tagállam és a Bizottság sem emel kifogást a valamely tagállam piacfelügyeleti hatósága által az (1) bekezdéssel összhangban kiadott engedéllyel szemben, az engedély indokoltnak tekintendő.
(5) Amennyiben a (3) bekezdésben említett értesítés kézhezvételétől számított 15 naptári napon belül valamely tagállam kifogást emel egy másik tagállam piacfelügyeleti hatósága által kiadott engedéllyel szemben, vagy ha a Bizottság úgy ítéli meg, hogy az engedély ellentétes az uniós joggal, vagy hogy a tagállamoknak a (3) bekezdésben említett, a rendszer megfelelőségére vonatkozó következtetése megalapozatlan, a Bizottság haladéktalanul egyeztetést kezdeményez az érintett tagállammal. Az érintett üzemeltetőkkel egyeztetni kell, és lehetőséget kell biztosítani számukra, hogy kifejtsék álláspontjukat. Minderre tekintettel, a Bizottság dönt arról, hogy az engedély indokolt-e. A Bizottság közli határozatát az érintett tagállammal és a releváns üzemeltetőkkel.
(6) Amennyiben a Bizottság az engedélyt indokolatlannak ítéli, az engedélyt az érintett tagállam piacfelügyeleti hatóságának vissza kell vonnia.
(7) Az I. melléklet A. szakaszában felsorolt uniós harmonizációs jogszabályok hatálya alá tartozó termékekhez kapcsolódó, nagy kockázatú MI-rendszerek esetében kizárólag az említett uniós harmonizációs jogszabályokban megállapított megfelelőségértékelési eljárástól való eltéréseket kell alkalmazni.
47. cikk
EU-megfelelőségi nyilatkozat
(1) A szolgáltatónak minden egyes nagy kockázatú MI-rendszerre vonatkozóan írásos, géppel olvasható, fizikai vagy elektronikus aláírással ellátott EU-megfelelőségi nyilatkozatot kell készítenie, és azt a nagy kockázatú MI-rendszer forgalomba hozatala vagy üzembe helyezése után 10 évig az illetékes nemzeti hatóság számára elérhetővé kell tennie. Az EU-megfelelőségi nyilatkozatban azonosítani kell azon nagy kockázatú MI-rendszert, amelyre vonatkozóan a nyilatkozatot kiállították. Az EU-megfelelőségi nyilatkozat egy példányát kérésre be kell nyújtani a megfelelő illetékes nemzeti hatóságok részére.
(2) Az EU-megfelelőségi nyilatkozatban fel kell tüntetni, hogy az érintett nagy kockázatú MI-rendszer megfelel a 2. szakaszban foglalt követelményeknek. Az EU-megfelelőségi nyilatkozatnak tartalmaznia kell az V. mellékletben szereplő információkat, és a nyilatkozatot le kell fordítani az azon tagállamok illetékes nemzeti hatóságai által könnyen érthető nyelvre, amelyekben a nagy kockázatú MI-rendszert forgalomba hozták vagy forgalmazzák.
(3) Amennyiben a nagy kockázatú MI-rendszerek más olyan uniós harmonizációs jogszabályok hatálya alá tartoznak, amelyek szintén EU-megfelelőségi nyilatkozatot írnak elő, a nagy kockázatú MI-rendszerre alkalmazandó valamennyi uniós jogszabály tekintetében egyetlen EU-megfelelőségi nyilatkozatot kell kiállítani. A nyilatkozatnak tartalmaznia kell minden olyan információt, amelyre szükség van annak az uniós harmonizációs jogszabálynak az azonosításához, amelynek tekintetében a nyilatkozatot tették.
(4) Az EU-megfelelőségi nyilatkozat kiállítását követően a szolgáltatónak felelősséget kell vállalnia a 2. szakaszban foglalt követelmények teljesítéséért. A szolgáltatónak szükség szerint naprakészen kell tartania az EU-megfelelőségi nyilatkozatot.
(5) A Bizottság felhatalmazást kap arra, hogy a 97. cikknek megfelelően felhatalmazáson alapuló jogi aktusokat fogadjon el az V. mellékletnek az említett mellékletben meghatározott EU-megfelelőségi nyilatkozat tartalmának naprakésszé tételével történő módosítása céljából, annak érdekében hogy a műszaki fejlődés fényében szükségessé váló elemeket beillessze.
48. cikk
CE-jelölés
(1) A CE-jelölésre a 765/2008/EK rendelet 30. cikkében meghatározott általános elvek vonatkoznak.
(2) A kizárólag digitálisan szolgáltatott nagy kockázatú MI-rendszerek esetében digitális CE-jelölés csak akkor használható, ha az könnyen hozzáférhető azon interfészen keresztül, ahonnan az adott rendszer elérhető, vagy könnyen hozzáférhető, géppel olvasható kód vagy más elektronikus eszköz révén.
(3) A CE-jelölést a nagy kockázatú MI-rendszerek esetében jól láthatóan, olvashatóan és eltávolíthatatlan módon kell elhelyezni. Amennyiben a nagy kockázatú MI-rendszer jellege miatt ez nem lehetséges vagy nem indokolt, a jelölést a csomagoláson vagy adott esetben a kísérő dokumentáción kell feltüntetni.
(4) A CE-jelölés mellett adott esetben fel kell tüntetni a 43. cikkben foglalt megfelelőségértékelési eljárásokért felelős bejelentett szervezet azonosító számát. A bejelentett szervezet azonosító számát magának a szervezetnek vagy - annak utasításai alapján - a szolgáltatónak vagy a szolgáltató meghatalmazott képviselőjének kell feltüntetnie. Az azonosító számot fel kell tüntetni minden olyan promóciós anyagon is, amelyben megemlítésre kerül, hogy a nagy kockázatú MI-rendszer eleget tesz a CE-jelölésre vonatkozó követelményeknek.
(5) Ha a nagy kockázatú MI-rendszerek olyan más uniós jogszabály hatálya alá tartoznak, amely szintén előírja a CE-jelölés feltüntetését, a CE-jelölésben jelezni kell, hogy a nagy kockázatú MI-rendszer ezen más jogszabály követelményeinek is megfelel.
49. cikk
Regisztráció
(1) A III. mellékletben felsorolt valamely, nagy kockázatú MI-rendszer - a III. melléklet 2. pontjában említett nagy kockázatú MI-rendszerek kivételével - forgalomba hozatala vagy üzembe helyezése előtt a szolgáltatónak vagy adott esetben a meghatalmazott képviselőnek saját magát és a rendszerét regisztrálnia kell a 71. cikkben említett uniós adatbázisban.
(2) Az olyan MI-rendszer forgalomba hozatala vagy üzembe helyezése előtt, amelyről a szolgáltató megállapította, hogy a 6. cikk (3) bekezdése értelmében nem nagy kockázatú, az említett szolgáltatónak vagy adott esetben a meghatalmazott képviselőnek saját magát és az említett rendszert regisztrálnia kell a 71. cikkben említett uniós adatbázisban.
(3) Valamely, a III. mellékletben felsorolt nagy kockázatú MI-rendszer - a III. melléklet 2. pontjában felsorolt nagy kockázatú MI-rendszerek kivételével - üzembe helyezése vagy használata előtt azon alkalmazók, amelyek hatóságok, uniós intézmények, szervek, hivatalok vagy ügynökségek, vagy a nevükben eljáró személyek, regisztrálják magukat, kiválasztják a rendszert, és regisztrálják annak használatát a 71. cikkben említett uniós adatbázisban.
(4) A III. melléklet 1., 6. és 7. pontjában említett nagy kockázatú MI-rendszerek esetében a bűnüldözés, a migráció, a menekültügy és a határigazgatás területén az e cikk (1), (2) és (3) bekezdésében említett regisztrációt a 71. cikkben említett uniós adatbázis biztonságos, nem nyilvános részében kell megtenni, és annak adott esetben csak a következő, az alábbi helyeken említett információkra kell kiterjednie:
a) a VIII. melléklet A. szakaszának 1-10. pontja, kivéve a 6., a 8. és a 9. pontot;
b) a VIII. melléklet B. szakaszának 1-5. pontja, valamint 8. és 9. pontja;
c) a VIII. melléklet C. szakaszának 1-3. pontja;
d) a IX. melléklet 1., 2., 3. és 5. pontja.
Csak a Bizottság és a 74. cikk (8) bekezdésében említett nemzeti hatóságok férhetnek hozzá az uniós adatbázisnak az e bekezdés első albekezdésében felsorolt, vonatkozó korlátozott részeihez.
(5) A III. melléklet 2. pontjában említett nagy kockázatú MI-rendszereket nemzeti szinten kell nyilvántartásba venni.
IV. FEJEZET
BIZONYOS MI-RENDSZEREK SZOLGÁLTATÓIRA ÉS ALKALMAZÓIRA VONATKOZÓ ÁTLÁTHATÓSÁGI KÖTELEZETTSÉGEK
50. cikk
Bizonyos MI-rendszerek szolgáltatóira és alkalmazóira vonatkozó átláthatósági kötelezettségek
(1) A szolgáltatóknak biztosítaniuk kell, hogy a természetes személyekkel való közvetlen interakcióra szánt MI-rendszereket úgy tervezzék meg és fejlesszék ki, hogy az érintett természetes személyek tájékoztatást kapjanak arról, hogy egy MI-rendszerrel állnak interakcióban, kivéve, ha ez a körülményekre és a felhasználási kontextusra figyelemmel, egy észszerűen jól tájékozott, figyelmes és körültekintő természetes személy szempontjából nyilvánvaló tény. Ez a kötelezettség nem alkalmazandó bűncselekmények felderítése, megelőzése, nyomozása vagy büntetőeljárás alá vonása céljára - a harmadik felek jogaira és szabadságaira vonatkozó megfelelő biztosítékok mellett - a törvény által engedélyezett MI-rendszerekre, kivéve, ha az említett rendszerek bűncselekmények bejelentése céljából a nyilvánosság rendelkezésére állnak.
(2) A szintetikus hang-, kép-, video- vagy szöveges tartalmat létrehozó MI-rendszerek - köztük az általános célú MI-rendszerek - szolgáltatóinak biztosítaniuk kell, hogy az MI-rendszer kimeneteit géppel olvasható formátumban jelöljék meg, és azok mesterségesen létrehozottként vagy manipuláltként észlelhetők legyenek. A szolgáltatóknak biztosítaniuk kell, hogy műszaki megoldásaik hatékonyak, interoperábilisak, robusztusak és megbízhatóak legyenek, amennyiben ez műszakilag megvalósítható, figyelembe véve a különböző tartalomtípusok sajátosságait és korlátait, a megvalósítás költségeit és a technika általánosan elismert állását, amint azt a vonatkozó műszaki szabványok tükrözhetik. Ez a kötelezettség nem alkalmazandó, amennyiben az MI-rendszerek támogató funkciót töltenek be hagyományos szerkesztés céljára, vagy nem változtatják meg lényegesen az alkalmazó által szolgáltatott bemeneti adatokat vagy azok szemantikáját, vagy amennyiben azt törvény engedélyezi bűncselekmények felderítése, megelőzése, nyomozása vagy büntetőeljárás alá vonása céljából.
(3) Az érzelemfelismerő rendszer vagy a biometrikus kategorizálási rendszer alkalmazóinak tájékoztatniuk kell a rendszer működéséről azon természetes személyeket, akik a rendszer működésének ki vannak téve, és a személyes adatokat az (EU) 2016/679 és az (EU) 2018/1725 rendeletnek, valamint - adott esetben - az (EU) 2016/680 irányelvnek megfelelően kell kezelniük. Ez a kötelezettség nem alkalmazandó a biometrikus kategorizálásra és érzelemfelismerésre használt olyan MI-rendszerekre, amelyeket a törvény megenged bűncselekmények felderítése, megelőzése és nyomozása céljából, a harmadik felek jogaira és szabadságaira vonatkozó megfelelő biztosítékok mellett, és az uniós jognak megfelelően.
(4) Az olyan MI-rendszerek alkalmazóinak, amelyek eredetinek vagy valóságosnak tűnő ("deepfake") kép-, hang- vagy videotartalmat hoznak létre vagy manipulálnak, közölniük kell, hogy a tartalmat mesterségesen hozták létre vagy manipulálták. Ez a kötelezettség nem alkalmazandó, amennyiben a használatot törvény engedélyezi bűncselekmények felderítése, megelőzése, nyomozása vagy büntetőeljárás alá vonása céljából. Amennyiben a tartalom nyilvánvalóan művészeti, kreatív, szatirikus, fiktív vagy hasonló mű vagy program részét képezi, az e bekezdésben meghatározott átláthatósági kötelezettségek az ilyen létrehozott vagy manipulált tartalom meglétének megfelelő, a mű megjelenítését vagy élvezetét nem akadályozó közlésére korlátozódnak.
A nyilvánosság közérdekű ügyekről való tájékoztatása céljából közzétett szöveget generáló vagy manipuláló MI-rendszer alkalmazóinak közölniük kell, hogy a szöveget mesterségesen hozták létre vagy manipulálták. Ez a kötelezettség nem alkalmazandó abban az esetben, ha a felhasználást törvény engedélyezi bűncselekmények felderítése, megelőzése, nyomozása vagy büntetőeljárás alá vonása céljából, vagy ha a mesterséges intelligencia által létrehozott tartalmon emberi felülvizsgálatra vagy szerkesztési ellenőrzésre került sor, és amennyiben a tartalom közzétételéért természetes vagy jogi személy szerkesztői felelősséget visel.
(5) Az (1)-(4) bekezdésben említett tájékoztatást legkésőbb az első interakció vagy kitettség alkalmával, egyértelmű és jól megkülönböztethető módon kell az érintett természetes személyek számára nyújtani. A tájékoztatásnak meg kell felelnie az alkalmazandó akadálymentesítési követelményeknek.
(6) Az (1)-(4) bekezdés nem érintheti a III. fejezetben meghatározott követelményeket és kötelezettségeket, és nem sérthet az MI-rendszerek alkalmazóira vonatkozóan az uniós vagy a nemzeti jogban megállapított egyéb átláthatósági kötelezettségeket.
(7) Az MI-hivatalnak ösztönöznie és segítenie kell uniós szintű gyakorlati kódexek kidolgozását a mesterségesen előállított vagy manipulált tartalom észlelésére és címkézésére vonatkozó kötelezettségek hatékony végrehajtásának elősegítése érdekében. A Bizottság az 56. cikk (6) bekezdésében megállapított eljárásnak megfelelően végrehajtási jogi aktusokat fogadhat el az említett gyakorlati kódexek jóváhagyása céljából. A Bizottság - ha úgy ítéli meg, hogy a kódex nem megfelelő - a 98. cikk (2) bekezdésében megállapított vizsgálóbizottsági eljárásnak megfelelően végrehajtási jogi aktust fogadhat el, amelyben közös szabályokat határoz meg az említett kötelezettségek végrehajtására vonatkozóan.
V. FEJEZET
ÁLTALÁNOS CÉLÚ MI-MODELLEK
1. SZAKASZ
Besorolási szabályok
51. cikk
Általános célú MI-modellek rendszerszintű kockázatot jelentő általános célú MI-modellként való besorolása
(1) Valamely általános célú MI-modellt rendszerszintű kockázatot jelentő általános célú MI-modellként kell besorolni, ha megfelel a következő feltételek bármelyikének:
a) megfelelő technikai eszközök és módszertanok - többek között mutatók és referenciaértékek - alapján értékelt, nagy hatású képességekkel rendelkezik;
b) a Bizottság - hivatalból vagy a tudományos testület által tett minősített riasztást követően hozott - határozata alapján az a) pontban meghatározottakkal egyenértékű képességekkel vagy hatással rendelkezik, tekintettel a XIII. mellékletben meghatározott kritériumokra.
(2) Valamely általános célú MI-modellről vélelmezni kell, hogy rendelkezik az (1) bekezdés a) pontja szerinti nagy hatású képességekkel, amikor a tanításához használt, lebegőpontos műveletekben mért, összesített számítási összege nagyobb, mint 1025.
(3) A Bizottság a 97. cikknek megfelelően felhatalmazáson alapuló jogi aktusokat fogad el annak érdekében, hogy a folyamatosan változó technológiai fejlemények - például az algoritmusok javulása vagy a hardverhatékonyság fokozódása - fényében módosítsa az e cikk (1) és (2) bekezdésében felsorolt küszöbértékeket, valamint kiegészítse a referenciamutatókat és a referenciaértékeket abból a célból, hogy ezen küszöbértékek a technika mindenkori állását tükrözzék.
52. cikk
Eljárás
(1) Amennyiben egy általános célú MI-modell megfelel az 51. cikk (1) bekezdésének a) pontjában említett feltételnek, a releváns szolgáltató haladéktalanul, de legkésőbb két héttel azt követően értesíti a Bizottságot, hogy az említett követelmény teljesül, vagy ismertté válik, hogy a követelmény teljesülni fog. Az említett értesítésnek tartalmaznia kell az annak bizonyításához szükséges információkat, hogy a releváns követelmény teljesült. Ha a Bizottság tudomást szerez egy rendszerszintű kockázatot jelentő általános célú MI-modellről, amelyről nem értesítették, dönthet úgy, hogy azt rendszerszintű kockázatot jelentő modellként jelöli meg.
(2) Az 51. cikk (1) bekezdésének a) pontjában említett feltételnek megfelelő, általános célú MI-modell szolgáltatója az értesítésével együtt kellően megalapozott érveket terjeszthet elő annak bizonyítására, hogy az általános célú MI-modell - bár megfelel az említett követelménynek - a sajátos jellemzői miatt, kivételesen nem jelent rendszerszintű kockázatokat, és ezért nem kell rendszerszintű kockázatot jelentő általános célú MI-modellként besorolni.
(3) Amennyiben a Bizottság arra a következtetésre jut, hogy a (2) bekezdés alapján benyújtott érvek nem kellően megalapozottak, és az érintett szolgáltató nem tudta bizonyítani, hogy az általános célú MI-modell - a sajátos jellemzői miatt - nem jelent rendszerszintű kockázatot, elutasítja az említett érveket, és az általános célú MI-modellt rendszerszintű kockázatot jelentő általános célú MI-modellnek kell tekinteni.
(4) A Bizottság - hivatalból vagy a tudományos testület által a 90. cikk (1) bekezdésének a) pontja alapján tett minősített riasztást követően - a XIII. mellékletben meghatározott kritériumok alapján rendszerszintű kockázatot jelentő modellként jelölhet meg egy általános célú MI-modellt.
A Bizottság felhatalmazást kap arra, hogy a 97. cikknek megfelelően felhatalmazáson alapuló jogi aktusokat fogadjon el a XIII. mellékletnek az említett mellékletben meghatározott kritériumok pontosítása és naprakésszé tétele révén történő módosítása céljából.
(5) Azon szolgáltató indokolással ellátott kérésére, amelynek modelljét a (4) bekezdés alapján rendszerszintű kockázatot jelentő általános MI-modellként jelölték meg, a Bizottság figyelembe veszi a kérelmet, és határozhat úgy, hogy újraértékeli, vajon az általános célú MI-modell a XIII. mellékletben meghatározott kritériumok alapján továbbra is rendszerszintű kockázatot jelentőnek tekinthető-e. Az ilyen kérelemnek tartalmaznia kell a megjelölésről szóló határozat óta felmerült objektív, részletes és új indokokat. A szolgáltatók legkorábban hat hónappal a megjelölésről szóló határozatot követően újraértékelést kérhetnek. Amennyiben a Bizottság az újraértékelését követően úgy határoz, hogy fenntartja a rendszerszintű kockázatot jelentő általános célú MI-modellként való megjelölést, a szolgáltatók legkorábban hat hónappal az említett határozatot követően kérhetnek újraértékelést.
(6) A Bizottság biztosítja a rendszerszintű kockázatot jelentő általános célú MI-modellek jegyzékének közzétételét, és naprakészen tartja az említett jegyzéket, a szellemitulajdon-jogok és a bizalmas üzleti információk vagy üzleti titkok uniós és nemzeti joggal összhangban történő tiszteletben tartása és védelme szükségességének sérelme nélkül.
2. SZAKASZ
Az általános célú MI-modellek szolgáltatóira vonatkozó kötelezettségek
53. cikk
Az általános célú MI-modellek szolgáltatóira vonatkozó kötelezettségek
(1) Az általános célú MI-modellek szolgáltatóinak:
a) el kell készíteniük és naprakészen kell tartaniuk a modell műszaki dokumentációját, beleértve annak tanítási és tesztelési folyamatát, valamint értékelésének eredményeit, amelynek tartalmaznia kell legalább a XI. mellékletben meghatározott információkat abból a célból, hogy azt kérésre az MI-hivatal és az illetékes nemzeti hatóságok rendelkezésére bocsássák;
b) információkat és dokumentációt kell kidolgozniuk, naprakészen tartaniuk és rendelkezésre bocsátaniuk az MI-rendszerek azon szolgáltatói részére, amelyek az általános célú MI-modellt be kívánják építeni MI-rendszereikbe. A szellemitulajdon-jogok és a bizalmas üzleti információk vagy üzleti titkok uniós és nemzeti joggal összhangban történő tiszteletben tartásának és védelmének sérelme nélkül, az információknak és a dokumentációnak:
i. lehetővé kell tenniük az MI-rendszerek szolgáltatói számára, hogy jól megértsék az általános célú MI-modell képességeit és korlátait, és eleget tegyenek az e rendelet szerinti kötelezettségeiknek; és
ii. tartalmazniuk kell legalább a XII. mellékletben meghatározott elemeket;
c) a szerzői és kapcsolódó jogokra vonatkozó uniós jognak való megfelelésre irányuló politikát kell bevezetniük, és különösen azért, hogy azonosítsák és betartsák az (EU) 2019/790 irányelv 4. cikkének (3) bekezdése szerint kifejezett jogfenntartást, többek között a legkorszerűbb technológiák révén;
d) kellően részletes összefoglalót kell készíteniük - az MI-hivatal által rendelkezésre bocsátott sablonnak megfelelően - és közzétenniük az általános célú MI-modell tanításához használt tartalomról.
(2) Az (1) bekezdés a) és b) pontjában meghatározott kötelezettségek nem alkalmazandók az olyan MI-modellek szolgáltatóira, amelyeket olyan szabad és nyílt forráskódú licenc alapján bocsátanak ki, amely lehetővé teszi a modellhez való hozzáférést, annak használatát, módosítását és terjesztését, és amelyek paramétereit - beleértve a súlyokat, a modell-architektúrára vonatkozó információkat és a modellhasználatra vonatkozó információkat - nyilvánosan hozzáférhetővé teszik. Ez a kivétel nem alkalmazandó a rendszerszintű kockázatot jelentő általános célú MI-modellekre.
(3) Az általános célú MI-modellek szolgáltatóinak szükség szerint együtt kell működniük a Bizottsággal és az illetékes nemzeti hatóságokkal az e rendelet szerinti hatásköreik és jogköreik gyakorlása során.
(4) Az általános célú MI-modellek szolgáltatói egy harmonizált szabvány közzétételéig támaszkodhatnak az 56. cikk szerinti gyakorlati kódexekre az e cikk (1) bekezdésében meghatározott kötelezettségeknek való megfelelés bizonyítása céljából. Az európai harmonizált szabványoknak való megfelelés a szolgáltatók számára a megfelelés vélelmét biztosítja annyiban, amennyiben az említett szabványok kiterjednek az említett kötelezettségekre. Az általános célú MI-modellek azon szolgáltatóinak, amelyek nem tartanak be valamely jóváhagyott gyakorlati kódexet, vagy nem felelnek meg valamely európai harmonizált szabványnak, a Bizottság általi értékelés céljából megfelelő alternatív megfelelőségi eszközöket kell bemutatniuk.
(5) A XI. mellékletnek és különösen annak 2. pontja d) és e) alpontjának való megfelelés elősegítése érdekében a Bizottság felhatalmazást kap arra, hogy a 97. cikknek megfelelően felhatalmazáson alapuló jogi aktusokat fogadjon el a mérési és számítási módszerek részletezése céljából, hogy lehetővé tegye összehasonlítható és ellenőrizhető dokumentáció készítését.
(6) A Bizottság felhatalmazást kap arra, hogy a 97. cikk (2) bekezdésének megfelelően felhatalmazáson alapuló jogi aktusokat fogadjon el abból a célból, hogy a technológiai fejlemények fényében módosítsa a XI. és a XII. mellékletet.
(7) Az e cikk alapján megszerzett információkat, illetve dokumentációt - az üzleti titkokat is beleértve - a 78. cikkben foglalt titoktartási kötelezettségeknek megfelelően kell kezelni.
54. cikk
Az általános célú MI-modellek szolgáltatóinak meghatalmazott képviselői
(1) Valamely általános célú MI-rendszernek az Unió piacán való forgalomba hozatalát megelőzően a harmadik országokban letelepedett szolgáltatóknak írásbeli meghatalmazással ki kell nevezniük egy, az Unióban letelepedett meghatalmazott képviselőt.
(2) A szolgáltatónak lehetővé kell tennie a meghatalmazott képviselője számára, hogy elvégezze a szolgáltatótól kapott megbízásban meghatározott feladatokat.
(3) A meghatalmazott képviselőknek a szolgáltatótól kapott megbízásban meghatározott feladatokat kell ellátniuk. A megbízás egy példányát kérésre az MI-hivatal rendelkezésére kell bocsátaniuk az Unió intézményeinek egyik hivatalos nyelvén. E rendelet alkalmazása céljából a megbízásban fel kell hatalmazni a meghatalmazott képviselőt a következő feladatok elvégzésére:
a) annak ellenőrzése, hogy a XI. mellékletben meghatározott műszaki dokumentációt a szolgáltató elkészítette-e, és teljesítette-e az 53. cikkben és - adott esetben - az 55. cikkben említett valamennyi kötelezettséget;
b) az általános célú MI-modell forgalomba hozatalát követően 10 évig a XI. mellékletben meghatározott műszaki dokumentáció egy példányának megőrzése az MI-hivatal és az illetékes nemzeti hatóságok számára, valamint a meghatalmazott képviselőt kinevező szolgáltató elérhetőségének megőrzése;
c) indokolt kérésre az e fejezetben foglalt kötelezettségeknek való megfelelés igazolásához szükséges valamennyi információnak és dokumentációnak - ideértve a b) pontban említetteket is - az MI-hivatal rendelkezésére bocsátása;
d) indokolt kérésre együttműködés az MI-hivatallal és az illetékes hatóságokkal az általuk a rendszerszintű kockázatot jelentő általános célú MI-modellel kapcsolatban hozott minden intézkedés tekintetében, ideértve azt is, amikor a modellt az Unióban forgalomba hozott vagy üzembe helyezett MI-rendszerekbe integrálják.
(4) A megbízásban fel kell hatalmazni a meghatalmazott képviselőt arra, hogy az MI-hivatal vagy az illetékes hatóságok hozzá fordulhassanak - a szolgáltató mellett vagy helyett - az e rendeletnek való megfelelés biztosításával kapcsolatos minden kérdést illetően.
(5) A meghatalmazott képviselőnek meg kell szüntetnie a megbízást, ha úgy ítéli meg, vagy oka van úgy megítélni, hogy a szolgáltató az e rendelet szerinti kötelezettségeivel ellentétesen jár el. Ilyen esetben a megbízás megszüntetéséről és annak okairól haladéktalanul tájékoztatnia kell az MI-hivatalt is.
(6) Az e cikkben meghatározott kötelezettségek nem alkalmazandók az olyan, általános célú MI-modellek szolgáltatóira, amelyeket olyan szabad és nyílt forráskódú licenc alapján bocsátanak ki, amely lehetővé teszi a modellhez való hozzáférést, annak használatát, módosítását és terjesztését, és amelyek paramétereit - beleértve a súlyokat, a modell-architektúrára vonatkozó információkat és a modellhasználatra vonatkozó információkat - nyilvánosan hozzáférhetővé teszik, kivéve, ha az általános célú MI-modell rendszerszintű kockázatot jelent.
3. SZAKASZ
A rendszerszintű kockázatot jelentő általános célú MI-modellek szolgáltatóinak kötelezettségei
55. cikk
A rendszerszintű kockázatot jelentő általános célú MI-modellek szolgáltatóinak kötelezettségei
(1) Az 53. és az 54. cikkben felsorolt kötelezettségeken túlmenően, a rendszerszintű kockázatot jelentő általános célú MI-modellek szolgáltatóinak:
a) modellértékelést kell végezniük a technika állásának megfelelő, szabványosított protokollokkal és eszközökkel összhangban, ideértve a modell támadó szempontú tesztelésének elvégzését és dokumentálását a rendszerszintű kockázatok azonosítása és enyhítése céljából;
b) értékelniük és enyhíteniük kell az esetlegesen a rendszerszintű kockázatot jelentő általános célú MI-modellek fejlesztéséből, forgalomba hozatalából vagy használatából eredő lehetséges, uniós szintű rendszerszintű kockázatokat, beleértve azok forrásait is;
c) nyomon kell követniük, dokumentálniuk kell és indokolatlan késedelem nélkül jelenteniük kell az MI-hivatal és adott esetben az illetékes nemzeti hatóságok részére a súlyos váratlan eseményekre és az azok kezelésére szolgáló lehetséges korrekciós intézkedésekre vonatkozó releváns információkat;
d) megfelelő szintű kiberbiztonsági védelmet kell biztosítaniuk a rendszerszintű kockázatot jelentő általános célú MI-modell és a modell fizikai infrastruktúrája számára.
(2) A rendszerszintű kockázatot jelentő általános célú MI-modellek szolgáltatói egy harmonizált szabvány közzétételéig támaszkodhatnak az 56. cikk szerinti gyakorlati kódexekre az e cikk (1) bekezdésében meghatározott kötelezettségeknek való megfelelés bizonyítása céljából. A európai harmonizált szabványoknak való megfelelés a szolgáltatók számára a megfelelés vélelmét biztosítja annyiban, amennyiben az említett szabványok kiterjednek az említett kötelezettségekre. A rendszerszintű kockázatot jelentő általános célú MI-modellek azon szolgáltatóinak, amelyek nem tartanak be valamely jóváhagyott gyakorlati kódexet, vagy nem felelnek meg egy európai harmonizált szabványnak, a Bizottság általi értékelés céljából megfelelő alternatív megfelelőségi eszközöket kell bemutatniuk.
(3) Az e cikk alapján megszerzett információkat, illetve dokumentációt - az üzletit titkokat is beleértve - a 78. cikkben foglalt titoktartási kötelezettségeknek megfelelően kell kezelni.
4. SZAKASZ
Gyakorlati kódexek
56. cikk
Gyakorlati kódexek
(1) Az MI-hivatalnak ösztönöznie kell és elő kell segítenie uniós szintű gyakorlati kódexek kidolgozását annak érdekében, hogy hozzájáruljon e rendelet megfelelő alkalmazásához, figyelembe véve a nemzetközi megközelítéseket.
(2) Az MI-hivatalnak és a Testületnek törekednie kell annak biztosítására, hogy a gyakorlati kódexek kiterjedjenek legalább az 53. és az 55. cikkben meghatározott kötelezettségekre, beleértve a következő kérdéseket:
a) az annak biztosítására szolgáló eszközök, hogy az 53. cikk (1) bekezdésének a) és b) pontjában említett információkat a piaci és technológiai fejlemények fényében naprakészen tartsák;
b) a tanításhoz használt tartalomról szóló összefoglaló megfelelő szintű részletessége;
c) az uniós szintű rendszerszintű kockázatok típusának és jellegének azonosítása, beleértve adott esetben azok forrásait is;
d) az uniós szintű rendszerszintű kockázatok értékelésére és kezelésére vonatkozó olyan intézkedések, eljárások és modalitások, ideértve azok dokumentációját is, amelyeknek arányosnak kell lenniük a kockázatokkal, figyelembe kell venniük azok súlyosságát és valószínűségét, és figyelembe kell venniük az e kockázatok kezelésével kapcsolatos sajátos kihívásokat, tekintetbe véve az ilyen kockázatok felmerülésének és megvalósulásának lehetséges módjait az MI-értéklánc mentén.
(3) Az MI-hivatal felkérheti az általános célú MI-modellek valamennyi szolgáltatóját, valamint az érintett illetékes nemzeti hatóságokat, hogy vegyenek részt gyakorlati kódexek kidolgozásában. A civil társadalmi szervezetek, az ipar, a tudományos élet és más érintett érdekelt felek, például a downstream szolgáltatók és a független szakértők támogathatják a folyamatot.
(4) Az MI-hivatalnak és a Testületnek törekednie kell annak biztosítására, hogy a gyakorlati kódexek egyértelműen meghatározzák egyedi célkitűzéseiket, és az e célkitűzések elérésének biztosítására irányuló kötelezettségvállalásokat vagy intézkedéseket tartalmazzanak, beleértve adott esetben fő teljesítménymutatókat is, valamint hogy uniós szinten kellően figyelembe vegyék valamennyi érdekelt fél - köztük az érintett személyek - szükségleteit és érdekeit.
(5) Az MI-hivatalnak törekednie kell annak biztosítására, hogy a gyakorlati kódexek résztvevői rendszeresen beszámoljanak az MI-hivatalnak a kötelezettségvállalások végrehajtásáról, valamint a meghozott intézkedésekről és azok eredményeiről, adott esetben a fő teljesítménymutatókkal összevetve is. A fő teljesítménymutatóknak és a jelentéstételi kötelezettségvállalásoknak tükrözniük kell a különböző résztvevők mérete és kapacitása közötti különbségeket.
(6) Az MI-hivatalnak és a Testületnek rendszeresen nyomon kell követnie és értékelnie kell a gyakorlati kódexek célkitűzéseinek a résztvevők általi teljesítését, valamint az e rendelet megfelelő alkalmazásához való hozzájárulásukat. Az MI-hivatalnak és a Testületnek értékelnie kell, hogy a gyakorlati kódexek kiterjednek-e az 53. és az 55. cikkben meghatározott kötelezettségekre, és rendszeresen nyomon kell követnie és értékelnie kell a kódexekben foglalt célkitűzések elérését. A gyakorlati kódexek megfelelőségéről szóló értékelésüket közzé kell tenniük.
A Bizottság végrehajtási jogi aktus útján jóváhagyhatja a gyakorlati kódexet, és azt az Unión belül általánosan érvényessé nyilváníthatja. Ezt a végrehajtási jogi aktust a 98. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.
(7) Az MI-hivatal felkérheti az általános célú MI-modellek valamennyi szolgáltatóját, hogy tartsák be a gyakorlati kódexekben foglaltakat. A rendszerszintű kockázatot nem jelentő általános célú MI-modellek szolgáltatói esetében a kódexek ezen betartása az 53. cikkben meghatározott kötelezettségekre korlátozódhat, kivéve, ha kifejezetten kinyilvánítják a teljes kódexhez való csatlakozás iránti szándékukat.
(8) Az MI-hivatalnak adott esetben ösztönöznie kell és elő kell segítenie a gyakorlati kódexek felülvizsgálatát és kiigazítását, különösen az újonnan megjelenő szabványokra figyelemmel. Az MI-hivatalnak segítséget kell nyújtania a rendelkezésre álló szabványok értékeléséhez.
(9) A gyakorlati kódexeknek legkésőbb 2025. május 2-ig el kell készülniük. Az MI-hivatalnak meg kell tennie a szükséges lépéseket, beleértve a szolgáltatók (7) bekezdés szerinti felkérését is.
Ha 2025. augusztus 2-ig nem véglegesíthető valamely gyakorlati kódex, vagy ha az MI-hivatal annak e cikk (6) bekezdése szerinti értékelését követően úgy ítéli meg, hogy az nem megfelelő, a Bizottság végrehajtási jogi aktusok útján közös szabályokat állapíthat meg az 53. és az 55. cikkben meghatározott kötelezettségek végrehajtására vonatkozóan, beleértve az e cikk (2) bekezdésében meghatározott kérdéseket is. Ezeket a végrehajtási jogi aktusokat a 98. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.
VI. FEJEZET
AZ INNOVÁCIÓT TÁMOGATÓ INTÉZKEDÉSEK
57. cikk
MI szabályozói tesztkörnyezetek
(1) A tagállamok biztosítják, hogy illetékes hatóságaik nemzeti szinten legalább egy MI szabályozói tesztkörnyezetet hozzanak létre, amelynek 2026. augusztus 2-re működőképesnek kell lennie. Az említett tesztkörnyezetet egy vagy több másik tagállam illetékes hatóságaival közösen is létre lehet hozni. A Bizottság technikai támogatást, tanácsadást és eszközöket biztosíthat az MI szabályozói tesztkörnyezetek létrehozásához és működtetéséhez.
Az első albekezdés szerinti kötelezettség egy meglévő tesztkörnyezetben való részvétellel is teljesíthető, amennyiben ez a részvétel azonos szintű nemzeti lefedettséget biztosít a részt vevő tagállamok számára.
(2) További MI szabályozói tesztkörnyezeteket is létre lehet hozni regionális vagy helyi szinten, vagy más tagállamok illetékes hatóságaival közösen.
(3) Az európai adatvédelmi biztos szintén létrehozhat MI szabályozói tesztkörnyezetet az uniós intézmények, szervek, hivatalok és ügynökségek számára, és e fejezettel összhangban gyakorolhatja az illetékes nemzeti hatóságok szerepét és feladatait.
(4) A tagállamok biztosítják, hogy az (1) és a (2) bekezdésben említett illetékes hatóságok elegendő forrást különítsenek el az e cikknek való tényleges és kellő időben történő megfelelés érdekében. Az illetékes nemzeti hatóságoknak adott esetben együtt kell működniük más érintett hatóságokkal, és lehetővé tehetik az MI-ökoszisztémán belüli más szereplők bevonását. Ez a cikk nem érinthet a nemzeti vagy uniós jog alapján létrehozott egyéb szabályozói tesztkörnyezeteket. A tagállamok megfelelő szintű együttműködést biztosítanak az említett egyéb szabályozói tesztkörnyezeteket felügyelő hatóságok és az illetékes nemzeti hatóságok között.
(5) Az (1) bekezdés értelmében létrehozott MI szabályozói tesztkörnyezeteknek olyan ellenőrzött környezetet kell biztosítaniuk, amely előmozdítja az innovációt, és korlátozott ideig elősegíti az innovatív MI-rendszerek fejlesztését, tesztelését és validálását azok forgalomba hozatala vagy üzembe helyezése előtt, a szolgáltatók vagy a leendő szolgáltatók és az illetékes hatóság közötti megállapodás szerinti, a tesztkörnyezetre vonatkozó egyedi terv alapján. Az ilyen tesztkörnyezetek kiterjedhetnek az azokban felügyelt, valós körülmények közötti tesztelésre.
(6) Az illetékes hatóságoknak adott esetben iránymutatást, felügyeletet és támogatást kell biztosítaniuk az MI szabályozói tesztkörnyezeten belül a kockázatok azonosítása céljából, különösen az alapvető jogok, az egészség és a biztonság, a tesztelési és kockázatcsökkentő intézkedések, valamint azok hatékonysága tekintetében az e rendeletben és adott esetben a tesztkörnyezetben felügyelt egyéb uniós és nemzeti jogszabályokban foglalt kötelezettségekkel és követelményekkel kapcsolatban.
(7) Az illetékes hatóságoknak iránymutatást kell nyújtaniuk az MI szabályozói tesztkörnyezetben részt vevő szolgáltatók és leendő szolgáltatók számára a szabályozási elvárásokról és az e rendeletben meghatározott követelmények és kötelezettségek teljesítésének módjáról.
Az MI-rendszer szolgáltatójának vagy leendő szolgáltatójának kérésére az illetékes hatóságnak írásbeli bizonyítékot kell szolgáltatnia a tesztkörnyezetben sikeresen elvégzett tevékenységekről. Az illetékes hatóságnak kilépési jelentést is kell készítenie, amelyben részletezi a tesztkörnyezetben elvégzett tevékenységeket, valamint a kapcsolódó eredményeket és tanulási eredményeket. A szolgáltatók az ilyen dokumentációt felhasználhatják arra, hogy a megfelelőségértékelési eljárás vagy a vonatkozó piacfelügyeleti tevékenységek során igazolják az e rendeletnek való megfelelésüket. E tekintetben a piacfelügyeleti hatóságoknak és a bejelentett szervezeteknek pozitívan figyelembe kell venniük az illetékes nemzeti hatóság által benyújtott kilépési jelentéseket és írásbeli bizonyítékokat a megfelelőségértékelési eljárások észszerű mértékű felgyorsítása érdekében.
(8) A Bizottság és a Testület - a 78. cikkben foglalt titoktartási rendelkezésekre is figyelemmel, és a szolgáltató vagy a leendő szolgáltató egyetértésével - jogosult hozzáférni a kilépési jelentésekhez, és azokat adott esetben figyelembe veszi az e rendelet szerinti feladatai ellátása során. Ha mind a szolgáltató vagy a leendő szolgáltató, mind az illetékes nemzeti hatóság ehhez kifejezetten hozzájárul, a kilépési jelentés nyilvánosan hozzáférhetővé tehető az e cikkben említett egységes információs platformon keresztül.
(9) Az MI szabályozói tesztkörnyezetek létrehozásának azt kell céloznia, hogy hozzájáruljon a következő célkitűzésekhez:
a) a jogbiztonság javítása az e rendeletnek vagy adott esetben más alkalmazandó uniós és nemzeti jognak való megfelelés elérése érdekében;
b) az MI szabályozói tesztkörnyezetben részt vevő hatóságokkal való együttműködés révén hozzájárulás a legjobb gyakorlatok megosztásához;
c) az innováció és a versenyképesség ösztönzése, valamint egy MI-ökoszisztéma kialakításának megkönnyítése;
d) hozzájárulás a szabályozó hatóságok általi, tényeken alapuló tanuláshoz;
e) az MI-rendszerek uniós piacra jutásának megkönnyítése és felgyorsítása, különösen akkor, ha azokat kkv-k, köztük induló innovatív vállalkozások biztosítják.
(10) Az illetékes nemzeti hatóságok biztosítják, hogy amennyiben az innovatív MI-rendszerek személyes adatok kezelésével járnak, vagy egyébként az adatokhoz való hozzáférést biztosító vagy támogató más nemzeti hatóságok vagy illetékes hatóságok felügyeleti hatáskörébe tartoznak, a nemzeti adatvédelmi hatóságok és az említett más nemzeti vagy illetékes hatóságok részt vegyenek az MI szabályozói tesztkörnyezet működtetésében, továbbá feladataiknak és hatásköreiknek megfelelően részt vegyenek e szempontok felügyeletében.
(11) Az MI szabályozói tesztkörnyezetek nem érinthetik a tesztkörnyezeteket - többek között regionális vagy helyi szinten - felügyelő illetékes hatóságok felügyeleti és korrekciós hatásköreit. Amennyiben az ilyen MI-rendszerek fejlesztése és tesztelése során az egészséget és a biztonságot, valamint az alapvető jogokat érintő jelentős kockázatok merülnek fel, azokat megfelelően csökkenteni kell. Az illetékes nemzeti hatóságoknak hatáskörrel kell rendelkezniük arra, hogy ideiglenesen vagy véglegesen felfüggesszék a tesztelési folyamatot vagy a tesztkörnyezetben való részvételt, ha nincs lehetőség hatékony kockázatcsökkentésre, és erről a döntésről tájékoztatniuk kell az MI-hivatalt. Az illetékes nemzeti hatóságoknak a vonatkozó jogszabályok keretein belül, mérlegelési jogkörükkel élve kell gyakorolniuk felügyeleti hatásköreiket, amikor jogi rendelkezéseket hajtanak végre egy konkrét MI szabályozóitesztkörnyezet-projekt vonatkozásában azzal a céllal, hogy támogassák az MI-vel kapcsolatos innovációt az Unióban.
(12) Az MI szabályozói tesztkörnyezetben részt vevő szolgáltatóknak és leendő szolgáltatóknak a felelősségvállalásra alkalmazandó uniós és nemzeti jogszabályok értelmében továbbra is felelősséggel kell tartozniuk a tesztkörnyezetben való kísérletezés következtében harmadik feleknek okozott minden kárért. Azonban feltéve, hogy a leendő szolgáltatók tiszteletben tartják az egyedi tervet és részvételük feltételeit, és jóhiszeműen követik az illetékes nemzeti hatóság által adott iránymutatást, a hatóságok nem szabhatnak ki közigazgatási bírságot e rendelet megsértése miatt. Amennyiben az egyéb uniós és nemzeti jogszabályokért felelős más illetékes hatóságok aktívan részt vettek az MI-rendszernek a tesztkörnyezetben történő felügyeletében, és iránymutatást nyújtottak a megfelelésre vonatkozóan, az említett jogszabály tekintetében nem szabható ki közigazgatási bírság.
(13) Az MI szabályozói tesztkörnyezeteket úgy kell megtervezni és kialakítani, hogy azok adott esetben megkönnyítsék az illetékes nemzeti hatóságok közötti, határokon átnyúló együttműködést.
(14) Az illetékes nemzeti hatóságoknak össze kell hangolniuk tevékenységeiket és együtt kell működniük a Testület keretében.
(15) Az illetékes nemzeti hatóságoknak tájékoztatniuk kell az MI-hivatalt és a Testületet a tesztkörnyezet létrehozásáról, és támogatást és iránymutatást kérhetnek azoktól. Az MI-hivatalnak nyilvánosan hozzáférhetővé kell tennie és naprakészen kell tartania a tervezett és meglévő tesztkörnyezetek jegyzékét annak érdekében, hogy ösztönözze az MI szabályozói tesztkörnyezetekben való nagyobb számú interakciót és a határokon átnyúló együttműködést.
(16) Az illetékes nemzeti hatóságoknak éves jelentéseket kell benyújtaniuk az MI-hivatal és a Testület részére az MI szabályozói tesztkörnyezet létrehozását követő egy év elteltétől kezdődően, majd azt követően annak megszüntetéséig évente, valamint zárójelentést kell benyújtaniuk. Az említett jelentésekben tájékoztatást kell nyújtani az említett tesztkörnyezetek megvalósításának előrehaladásáról és eredményeiről, beleértve a legjobb gyakorlatokat, a súlyos váratlan eseményeket, a levont tanulságokat és a kialakításukra vonatkozó ajánlásokat, valamint adott esetben e rendelet - ideértve a kapcsolódó felhatalmazáson alapuló és végrehajtási jogi aktusokat - alkalmazásáról és esetleges módosításáról, továbbá a tesztkörnyezetben az illetékes hatóságok által felügyelt egyéb uniós jogszabályok alkalmazásáról. Az illetékes nemzeti hatóságoknak ezeket az éves jelentéseket vagy azok kivonatait online elérhetővé kell tenniük a nyilvánosság számára. A Bizottság az e rendelet szerinti feladatai ellátása során adott esetben figyelembe veszi az éves jelentéseket.
(17) A Bizottság egységes és célzott interfészt dolgoz ki, amely tartalmazza az MI szabályozói tesztkörnyezetekkel kapcsolatos valamennyi releváns információt, hogy lehetővé tegye az érdekelt felek számára, hogy interakciót folytassanak az MI szabályozói tesztkörnyezetekkel, és kérdéseket intézzenek az illetékes hatóságokhoz, valamint hogy a 62. cikk (1) bekezdésének c) pontjával összhangban nem kötelező erejű iránymutatást kérjenek az MI-technológiákon alapuló innovatív termékek, szolgáltatások és üzleti modellek megfelelőségéről. A Bizottság adott esetben proaktív koordinációt folytat az illetékes nemzeti hatóságokkal is.
58. cikk
Az MI szabályozói tesztkörnyezetekre vonatkozó részletes szabályok és e tesztkörnyezetek működése
(1) Az Unión belüli széttagoltság elkerülése érdekében a Bizottság végrehajtási jogi aktusokat fogad el, amelyekben meghatározza az MI szabályozói tesztkörnyezetek létrehozására, fejlesztésére, megvalósítására, működtetésére és felügyeletére vonatkozó részletes szabályokat. E végrehajtási jogi aktusoknak közös elveket kell tartalmazniuk a következő kérdésekre vonatkozóan:
a) az MI szabályozói tesztkörnyezetben való részvételre való jogosultság és kiválasztás kritériumai;
b) az MI szabályozói tesztkörnyezet alkalmazására, az abban való részvételre, annak nyomon követésére, az abból való kilépésre és a megszüntetésére vonatkozó eljárások, beleértve a tesztkörnyezetre vonatkozó tervet és a kilépési jelentést is;
c) a résztvevőkre alkalmazandó feltételek.
E végrehajtási jogi aktusokat a 98. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.
(2) Az (1) bekezdésben említett végrehajtási jogi aktusoknak biztosítaniuk kell, hogy:
a) az MI szabályozói tesztkörnyezetek nyitva álljanak bármely olyan MI-rendszer-szolgáltató vagy leendő MI-rendszer-szolgáltató előtt, amely megfelel a támogathatósági és kiválasztási kritériumoknak, amelyeknek átláthatónak és méltányosnak kell lenniük, valamint hogy az illetékes nemzeti hatóságok a kérelem benyújtásától számított három hónapon belül tájékoztassák a kérelmezőket döntésükről;
b) a szabályozói tesztkörnyezetek széles körű és egyenlő hozzáférést tegyenek lehetővé, és lépést tartsanak a részvételre irányuló kereslettel; a szolgáltatók és a leendő szolgáltatók az alkalmazókkal és más releváns harmadik felekkel partnerségben is benyújthatnak kérelmeket;
c) az MI szabályozói tesztkörnyezetekre vonatkozó részletes szabályok és feltételek a lehető legnagyobb mértékben támogassák az illetékes nemzeti hatóságok számára az MI szabályozói tesztkörnyezeteik létrehozásához és működtetéséhez szükséges rugalmasságot;
d) az MI szabályozói tesztkörnyezetekhez való hozzáférés ingyenes legyen a kkv-k - köztük az induló innovatív vállalkozások - számára, azon rendkívüli költségek sérelme nélkül, amelyeket az illetékes nemzeti hatóságok méltányos és arányos módon behajthatnak;
e) az MI szabályozói tesztkörnyezetek tanulási eredményei révén könnyítsék meg a szolgáltatók és a leendő szolgáltatók számára az e rendelet szerinti megfelelőségértékelési kötelezettségeknek való megfelelést és a 95. cikkben említett magatartási kódexek önkéntes alkalmazását;
f) az MI szabályozói tesztkörnyezetek megkönnyítsék más érintett szereplők - például a bejelentett szervezetek és a szabványügyi szervezetek, a kkv-k, ideértve az induló innovatív vállalkozásokat is, a vállalkozások, az innovátorok, a tesztelési és kísérleti létesítmények, a kutatási és kísérleti laboratóriumok és a digitális innovációs központok, a kiválósági központok, az egyéni kutatók - bevonását az MI-ökoszisztémán belül a köz- és a magánszektorral való együttműködés lehetővé tétele és megkönnyítése érdekében;
g) a kérelmezésre, kiválasztásra, részvételre és az MI szabályozói tesztkörnyezetből való kilépésre vonatkozó eljárások, folyamatok és adminisztratív követelmények egyszerűek, könnyen érthetők és egyértelműen kommunikáltak legyenek a korlátozott jogi és adminisztratív kapacitásokkal rendelkező kkv-k - köztük az induló innovatív vállalkozások - részvételének megkönnyítése érdekében, és az egész Unióban észszerűsítettek legyenek, hogy elkerülhető legyen a széttagoltság, és hogy a valamely tagállam vagy az európai adatvédelmi biztos által létrehozott MI szabályozói tesztkörnyezetben való részvétel kölcsönösen és egységesen elismert legyen, és Unió-szerte azonos joghatással járjon;
h) az MI szabályozói tesztkörnyezetben való részvétel olyan időtartamra korlátozódjon, amely megfelel a projekt összetettségének és nagyságrendjének, és amelyet az illetékes nemzeti hatóság meghosszabbíthat;
i) az MI szabályozói tesztkörnyezetek megkönnyítsék az MI-rendszerek azon dimenziói - így például a pontosság, a megbízhatóság és a kiberbiztonság - tesztelésére, összehasonlító teljesítményértékelésére, értékelésére és magyarázatára szolgáló eszközök és infrastruktúra fejlesztését, amelyek a szabályozó hatóságok általi tanulás szempontjából relevánsak, valamint az alapvető jogokat és a társadalom egészét érintő kockázatok enyhítését célzó intézkedéseket.
(3) Az MI szabályozói tesztkörnyezetekben a leendő szolgáltatókat, különösen a kkv-kat és az induló innovatív vállalkozásokat, adott esetben a telepítést megelőző szolgáltatásokhoz - mint például az e rendelet végrehajtásával kapcsolatos iránymutatás -, más értéknövelő szolgáltatásokhoz - mint például a szabványosítási dokumentumokkal és a tanúsítással kapcsolatos segítségnyújtás -, tesztelési és kísérleti létesítményekhez, az európai digitális innovációs központokhoz és a kiválósági központokhoz kell irányítani.
(4) Amennyiben az illetékes nemzeti hatóságok az e cikk alapján létrehozandó MI szabályozói tesztkörnyezet keretrendszerében felügyelt, valós körülmények közötti tesztelés engedélyezését mérlegelik, kifejezetten meg kell állapodniuk a résztvevőkkel az ilyen tesztelés feltételeiről és különösen a megfelelő biztosítékokról, az alapvető jogok, az egészség és a biztonság védelme céljából. Adott esetben együtt kell működniük más illetékes nemzeti hatóságokkal annak érdekében, hogy Unió-szerte biztosítsák a következetes gyakorlatokat.
59. cikk
Személyes adatok további kezelése bizonyos közérdekű MI-rendszerek fejlesztése céljából az MI szabályozói tesztkörnyezetben
(1) Az MI szabályozói tesztkörnyezetben a más célból jogszerűen gyűjtött személyes adatokat kizárólag bizonyos MI-rendszereknek a tesztkörnyezetben való kifejlesztése, betanítása és tesztelése céljából, a következő feltételek mindegyikének teljesülése esetén lehet kezelni:
a) az MI-rendszereket valamely hatóságnak vagy más természetes vagy jogi személynek a jelentős közérdek védelme érdekében és a következők közül egy vagy több területen kell kifejlesztenie:
i. közbiztonság és népegészségügy, beleértve a betegségek kimutatását, diagnózisát, megelőzését, felügyeletét és kezelését, valamint az egészségügyi rendszerek javítását;
ii. a környezet minőségének magas szintű védelme és javítása, a biológiai sokféleség védelme, a szennyezés elleni védelem, a zöld átállásra irányuló intézkedések, valamint az éghajlatváltozás mérséklése és az ahhoz való alkalmazkodás;
iii. fenntartható energia;
iv. a közlekedési rendszerek és a mobilitás, a kritikus infrastruktúrák és a hálózatok biztonsága és rezilienciája;
v. a közigazgatás és a közszolgáltatások hatékonysága és minősége;
b) a kezelt adatok a III. fejezet 2. szakaszában említett egy vagy több követelménynek való megfeleléshez szükségesek, amennyiben e követelmények ténylegesen nem teljesíthetők anonimizált, szintetikus vagy egyéb nem személyes adatok kezelésével;
c) hatékony nyomonkövetési mechanizmusok állnak rendelkezésre annak megállapítására, hogy a tesztkörnyezettel kapcsolatos kísérletek során felmerülhetnek-e az érintettek jogait és szabadságát fenyegető jelentős kockázatok, az (EU) 2016/679 rendelet 35. cikkében és az (EU) 2018/1725 rendelet 39. cikkében említettek szerint, valamint hogy rendelkezésre állnak-e olyan reagálási mechanizmusok, amelyek e kockázatok azonnali enyhítésére és szükség esetén az adatkezelés leállítására szolgálnak;
d) a tesztkörnyezettel összefüggésben kezelendő személyes adatok funkcionálisan különálló, elszigetelt és védett, a leendő szolgáltató ellenőrzése alatt álló adatkezelési környezetben vannak, és csak az arra jogosult személyek férnek hozzá ezekhez az adatokhoz;
e) a szolgáltatók kizárólag az uniós adatvédelmi joggal összhangban jogosultak az eredetileg gyűjtött adatok további megosztására; a tesztkörnyezetben létrehozott személyes adatok nem oszthatók meg a tesztkörnyezeten kívül;
f) a személyes adatoknak a tesztkörnyezettel összefüggésben végzett kezelése nem vezet az érintettekre vonatkozó intézkedésekhez vagy határozatokhoz, és nem érinti a személyes adatok védelméről szóló uniós jogban meghatározott jogaik alkalmazását sem;
g) a tesztkörnyezettel összefüggésben kezelt személyes adatok megfelelő technikai és szervezeti intézkedések útján védelem alatt állnak, illetve törlésre kerülnek, miután a tesztkörnyezetben való részvétel véget ért, vagy a személyes adatok megőrzési időszaka lejárt;
h) a tesztkörnyezettel összefüggésben végzett személyesadat-kezelés naplóit a tesztkörnyezetben való részvétel időtartama alatt megőrzik, kivéve, ha az uniós vagy nemzeti jog másképp rendelkezik;
i) a folyamat teljes körű és részletes leírását, valamint az MI-rendszer betanításának, tesztelésének és validálásának indokolását a IV. mellékletben említett műszaki dokumentáció részeként, a tesztelés eredményeivel együtt megőrzik;
j) a tesztkörnyezetben fejlesztett MI-projekt rövid összefoglalását, célkitűzéseit és várt eredményeit közzéteszik az illetékes hatóságok honlapján; ez a kötelezettség nem terjedhet ki a bűnüldöző, a határellenőrzési, a bevándorlási vagy a menekültügyi hatóságok tevékenységeivel kapcsolatos érzékeny operatív adatokra.
(2) Bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás alá vonása vagy büntetőjogi szankciók végrehajtása - többek között a közbiztonságot fenyegető veszélyekkel szembeni védelem és azok megelőzése - céljából az MI szabályozói tesztkörnyezetekben a személyes adatok kezelését az adott uniós vagy nemzeti jog alapján és az (1) bekezdésben említettekkel azonos feltételek együttes teljesülése függvényében kell végezni, a bűnüldöző hatóságok ellenőrzése és felelőssége mellett.
(3) Az (1) bekezdés nem érinti azt az uniós vagy nemzeti jogot, amely kizárja a személyes adatoknak az adott jogban kifejezetten említett céloktól eltérő célokból történő kezelését, valamint az innovatív MI-rendszerek fejlesztéséhez, teszteléséhez vagy betanításához szükséges személyesadat-kezelés alapját meghatározó uniós vagy nemzeti jogot vagy bármely más jogalapot, megfelelve a személyes adatok védelmére vonatkozó uniós jognak.
60. cikk
Nagy kockázatú MI-rendszereknek az MI szabályozói tesztkörnyezeteken kívüli, valós körülmények közötti tesztelése
(1) A nagy kockázatú MI-rendszerek valós körülmények közötti, az MI szabályozói tesztkörnyezeteken kívül történő tesztelését a III. mellékletben felsorolt nagy kockázatú MI-rendszerek szolgáltatói vagy leendő szolgáltatói végezhetik e cikkel és az e cikkben említett, valós körülmények közötti tesztelésre vonatkozó tervvel összhangban, az 5. cikk szerinti tilalmak sérelme nélkül.
A Bizottság végrehajtási jogi aktusok révén határozza meg a valós körülmények közötti tesztelésre vonatkozó terv részletes elemeit. E végrehajtási jogi aktusokat a 98. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.
E bekezdés nem érinti az I. mellékletben felsorolt uniós harmonizációs jogszabályok hatálya alá tartozó termékekhez kapcsolódó nagy kockázatú MI-rendszerek valós körülmények közötti tesztelésére vonatkozó uniós vagy nemzeti jogot.
(2) A szolgáltatók vagy a leendő szolgáltatók a III. mellékletben említett nagy kockázatú MI-rendszerek forgalomba hozatala vagy üzembe helyezése előtt saját maguk, vagy egy vagy több alkalmazóval vagy leendő alkalmazóval partnerségben bármikor elvégezhetik az MI-rendszer valós körülmények közötti tesztelését.
(3) A nagy kockázatú MI-rendszerek e cikk szerinti, valós körülmények közötti tesztelése nem sértheti az uniós vagy nemzeti jog által előírt etikai felülvizsgálatot.
(4) A szolgáltatók vagy a leendő szolgáltatók csak akkor végezhetnek valós körülmények közötti tesztelést, ha a következő feltételek mindegyike teljesül:
a) a szolgáltató vagy a leendő szolgáltató elkészítette a valós körülmények közötti tesztelésre vonatkozó tervet, és azt benyújtotta azon tagállam piacfelügyeleti hatóságához, amelyben a valós körülmények közötti tesztelésre sor kell, hogy kerüljön;
b) azon tagállam piacfelügyeleti hatósága, amelyben a valós körülmények közötti tesztelésre sor kell, hogy kerüljön, jóváhagyta a valós körülmények közötti tesztelést és a valós körülmények közötti tesztelésre vonatkozó tervet; amennyiben a piacfelügyeleti hatóság 30 napon belül nem ad választ, a valós körülmények közötti tesztelést és a valós körülmények közötti tesztelésre vonatkozó tervet jóváhagyottnak kell tekinteni; amennyiben a nemzeti jog nem rendelkezik a hallgatólagos jóváhagyásról, a valós körülmények közötti tesztelést továbbra is engedélyhez kell kötni;
c) a szolgáltató vagy a leendő szolgáltató - a bűnüldözés, a migráció, a menekültügy és a határellenőrzés területén használt, a III. melléklet 1., 6. és 7. pontjában említett nagy kockázatú MI-rendszerek, valamint a III. melléklet 2. pontjában említett nagy kockázatú MI-rendszerek szolgáltatói vagy leendő szolgáltatói kivételével - a valós körülmények közötti tesztelést a 71. cikk (4) bekezdésével összhangban - egy Unió-szerte egységes, egyedi azonosító számmal és a IX. mellékletben meghatározott információkkal együtt - rögzítette; a bűnüldözés, a migráció, a menekültügy és a határellenőrzés területén használt, a III. melléklet 1., 6. és 7. pontjában említett nagy kockázatú MI-rendszerek szolgáltatója vagy leendő szolgáltatója a valós körülmények közötti tesztelést - a 49. cikk (4) bekezdésének d) pontjával összhangban - az uniós adatbázis biztonságos nem nyilvános részében rögzítette egy Unió-szerte egységes, egyedi azonosító számmal és az ott meghatározott információkkal együtt; a III. melléket 2. pontjában említett nagy kockázatú MI-rendszerek szolgáltatója vagy leendő szolgáltatója a valós körülmények közötti tesztelést - a 49. cikk (5) bekezdésével összhangban - rögzítette;
d) a tesztelést valós körülmények között végző szolgáltató vagy leendő szolgáltató letelepedett az Unióban, vagy az Unióban letelepedett jogi képviselőt nevezett ki;
e) a valós körülmények közötti tesztelés céljából gyűjtött és kezelt adatok csak akkor továbbíthatók harmadik országokba, ha az uniós jog szerinti megfelelő és alkalmazandó biztosítékok végrehajtásra kerülnek;
f) a valós körülmények közötti tesztelés nem tart annál tovább, mint ami szükséges a céljai eléréséhez, de semmi esetre sem hosszabb hat hónapnál; ez az időszak további hat hónappal meghosszabbítható, feltéve, hogy a szolgáltató vagy a leendő szolgáltató előzetesen értesíti a piacfelügyeleti hatóságot, mellékelve annak magyarázatát, hogy miért van szükség a hosszabbításra;
g) a valós körülmények közötti tesztelés azon alanyai, akik életkoruk vagy fogyatékosságuk miatt kiszolgáltatott csoportokhoz tartozó személyek, megfelelő védelemben részesülnek;
h) amennyiben egy szolgáltató vagy a leendő szolgáltató a valós körülmények közötti tesztelést egy vagy több alkalmazóval vagy leendő alkalmazóval együttműködve szervezi meg, ez utóbbiakat tájékoztatták a tesztelés minden olyan vonatkozásáról, amely releváns a részvételükre vonatkozó döntésük szempontjából, és megkapták az MI-rendszer használatára vonatkozó, a 13. cikkben említett releváns utasításokat; a szolgáltatónak vagy a leendő szolgáltatónak és az alkalmazónak vagy a leendő alkalmazónak megállapodást kell kötniük, amelyben meghatározzák szerepüket és felelősségüket annak érdekében, hogy biztosítsák az e rendeletben, valamint más alkalmazandó uniós és nemzeti jogban a valós körülmények közötti tesztelésre vonatkozóan előírt rendelkezéseknek való megfelelést;
i) a valós körülmények közötti tesztelés vizsgálati alanyai a 61. cikkel összhangban tájékoztatáson alapuló hozzájárulásukat adták, vagy bűnüldözés esetében, amennyiben a tájékoztatáson alapuló hozzájárulás megkérése megakadályozná az MI-rendszer tesztelését, maga a tesztelés és a valós körülmények közötti tesztelés eredménye nem gyakorolhat negatív hatást a tesztelés vizsgálati alanyaira, és a személyes adataikat a teszt elvégzése után törölni kell;
j) a valós körülmények közötti tesztelést a szolgáltató vagy a leendő szolgáltató, valamint az alkalmazók és a leendő alkalmazók hatékonyan felügyelik olyan személyek révén, akik az adott területen megfelelően képzettek, és rendelkeznek a feladataik ellátásához szükséges kapacitással, képzettséggel és felhatalmazással;
k) az MI-rendszer előrejelzéseit, ajánlásait és döntéseit ténylegesen vissza lehet fordítani és figyelmen kívül lehet hagyni.
(5) A valós körülmények közötti tesztelés alanyai vagy adott esetben azok jogszerűen kijelölt képviselői a tájékoztatáson alapuló hozzájárulásuk visszavonásával - minden hátrányos következmény nélkül és indokolási kötelezettség nélkül - bármikor elállhatnak a teszteléstől, és kérhetik személyes adataik azonnali és végleges törlését. A tájékoztatáson alapuló hozzájárulás visszavonása nem érinti a már elvégzett tevékenységeket.
(6) A 75. cikkel összhangban a tagállamok felruházzák piacfelügyeleti hatóságaikat azzal a hatáskörrel, hogy a szolgáltatókat és a leendő szolgáltatókat információszolgáltatásra kötelezzék, előre be nem jelentett távoli vagy helyszíni ellenőrzéseket végezzenek, valamint hogy ellenőrzéseket végezzenek a valós körülmények közötti tesztelés lebonyolítására és a kapcsolódó nagy kockázatú MI-rendszerekre vonatkozóan. A piacfelügyeleti hatóságoknak az említett hatásköröket abból a célból kell gyakorolniuk, hogy biztosítsák a valós körülmények közötti tesztelés biztonságos fejlesztését.
(7) A valós körülmények közötti tesztelés során azonosított súlyos váratlan eseményeket a 73. cikkel összhangban jelenteni kell a nemzeti piacfelügyeleti hatóságnak. A szolgáltatónak vagy leendő szolgáltatónak azonnali kockázatcsökkentő intézkedéseket kell elfogadnia, vagy ennek hiányában fel kell függesztenie a valós körülmények közötti tesztelést mindaddig, amíg a kockázatcsökkentésre sor nem kerül, vagy egyébként meg kell szüntetnie azt. A valós körülmények közötti tesztelés említett megszüntetésének esetére a szolgáltatónak vagy a leendő szolgáltatónak ki kell alakítania egy eljárást az MI-rendszer azonnali visszahívására.
(8) A szolgáltatóknak vagy a leendő szolgáltatóknak értesíteniük kell a valós körülmények közötti tesztelés felfüggesztéséről vagy megszüntetéséről, továbbá a végeredményekről azon tagállam nemzeti piacfelügyeleti hatóságát, amelyben a valós körülmények közötti tesztelésre sor kerül.
(9) A szolgáltató vagy a leendő szolgáltató - a felelősségvállalásra alkalmazandó uniós és nemzeti jog alapján - felelősséggel tartozik a valós körülmények közötti tesztelés során okozott károkért.
61. cikk
Tájékoztatáson alapuló hozzájárulás az MI szabályozói tesztkörnyezeteken kívüli, valós körülmények közötti tesztelésben való részvételhez
(1) A 60. cikk szerinti, valós körülmények közötti tesztelés céljából - a tesztelésben való részvételüket megelőzően - be kell szerezni a vizsgálat alanyainak tájékoztatáson alapuló, önkéntes hozzájárulását azt követően, hogy tömör, egyértelmű, releváns és érthető tájékoztatást kaptak a következőket illetően:
a) a valós körülmények közötti tesztelés jellege és célkitűzései, valamint a részvételükkel összefüggő esetleges kellemetlenségek;
b) azon feltételek, amelyek mellett a valós körülmények közötti tesztelést el kell végezni, ideértve a vizsgálati alany vagy alanyok részvételének várható időtartamát;
c) a jogaik és a garanciák a részvételüket illetően, különös tekintettel a részvétel megtagadására való jogukra, valamint a valós körülmények közötti teszteléstől való, indokolás nélkül bármikor bejelenthető, hátrányos következménnyel nem járó elálláshoz való jogra;
d) az MI-rendszer előrejelzéseinek, ajánlásainak vagy döntéseinek visszafordítására vagy figyelmen kívül hagyására irányuló kérésre vonatkozó szabályok;
e) a 60. cikk (4) bekezdésének c) pontjával összhangban a valós körülmények közötti tesztelés Unió-szerte egységes, egyedi azonosító száma, valamint azon szolgáltatónak vagy jogi képviselőjének az elérhetősége, akitől további információk szerezhetők be.
(2) A tájékoztatáson alapuló hozzájárulást dátummal kell ellátni és dokumentálni kell, és annak másolatát át kell adni a vizsgálati alanyoknak vagy jogi képviselőiknek.
62. cikk
Szolgáltatókra és alkalmazókra, különösen a kkv-kra, köztük az induló innovatív vállalkozásokra vonatkozó intézkedések
(1) A tagállamok a következő intézkedéseket hajtják végre:
a) az Unióban bejegyzett székhellyel vagy fiókteleppel rendelkező kkv-k, köztük az induló innovatív vállalkozások számára elsőbbségi hozzáférést biztosítanak az MI szabályozói tesztkörnyezetekhez, amennyiben e vállalkozások teljesítik a jogosultsági feltételeket és a kiválasztási kritériumokat; az elsőbbségi hozzáférés nem zárhatja ki, hogy az e bekezdésben említettektől eltérő egyéb kkv-k - ideértve az induló innovatív vállalkozásokat is - hozzáféréssel rendelkezzenek az MI szabályozói tesztkörnyezethez, feltéve, hogy teljesítik a jogosultsági feltételeket és a kiválasztási szempontokat is;
b) az e rendelet alkalmazásával kapcsolatos, a kkv-k, köztük az induló innovatív vállalkozások, az alkalmazók, valamint adott esetben a helyi közigazgatási szervek igényeihez igazított külön figyelemfelhívó és képzési tevékenységeket szerveznek;
c) kihasználják a meglévő célzott csatornákat és adott esetben újakat hoznak létre a kkv-kkal, köztük az induló innovatív vállalkozásokkal, az alkalmazókkal, egyéb innovátorokkal, valamint adott esetben a helyi közigazgatási szervekkel folytatott kommunikáció céljára, hogy tanácsot és választ adjanak az e rendelet végrehajtásával kapcsolatos kérdéseket illetően, többek között az MI szabályozói tesztkörnyezetekben való részvétel tekintetében;
d) elősegítik a kkv-k és egyéb érintett érdekelt felek részvételét a szabványalkotási folyamatban.
(2) A 43. cikk szerinti megfelelőségértékelési díjak megállapításakor figyelembe kell venni a kkv-szolgáltatók, köztük az induló innovatív vállalkozások sajátos érdekeit és igényeit, arányosan csökkentve e díjakat a vállalkozások méretének, a piac méretének és egyéb releváns tényezőknek megfelelően.
(3) Az MI-hivatalnak a következő intézkedéseket kell végrehajtania:
a) a Testület által a kérelmében meghatározottak szerint szabványosított mintákat bocsát rendelkezésre az e rendelet hatálya alá tartozó területekre vonatkozóan;
b) egységes információs platformot fejleszt ki és tart fenn, amely könnyen használható információkat nyújt e rendelettel kapcsolatban valamennyi uniós gazdasági szereplő számára;
c) megfelelő kommunikációs kampányokat szervez annak érdekében, hogy felhívja a figyelmet az e rendeletből eredő kötelezettségekre;
d) értékeli és előmozdítja az MI-rendszerekre vonatkozó közbeszerzési eljárások legjobb gyakorlatainak közelítését.
63. cikk
Egyes gazdasági szereplők számára biztosított eltérések
(1) A 2003/361/EK ajánlás értelmében vett mikrovállalkozások az e rendelet 17. cikke által előírt minőségirányítási rendszer bizonyos elemeinek egyszerűsített módon is megfelelhetnek, feltéve, hogy nem rendelkeznek az említett ajánlás értelmében vett partnervállalkozásokkal vagy kapcsolt vállalkozásokkal. E célból a Bizottság iránymutatásokat dolgoz ki a minőségirányítási rendszer azon elemeire vonatkozóan, amelyeknek - a mikrovállalkozások igényeit figyelembe véve - egyszerűsített módon is meg lehet felelni, méghozzá anélkül, hogy ez érintené a védelem szintjét vagy a nagy kockázatú MI-rendszerekre vonatkozó követelményeknek való megfelelés szükségességét.
(2) E cikk (1) bekezdése nem értelmezhető úgy, hogy mentesíti az említett gazdasági szereplőket az e rendeletben meghatározott egyéb követelmények vagy kötelezettségek teljesítése alól, ideértve a 9., a 10., a 11., a 12., a 13., a 14., a 15., a 72. és a 73. cikkben meghatározott követelményeket és kötelezettségeket is.
VII. FEJEZET
IRÁNYÍTÁS
1. SZAKASZ
Uniós szintű irányítás
64. cikk
MI-hivatal
(1) A Bizottság az MI-hivatalon keresztül fejleszti az uniós szakértelmet és képességeket a mesterséges intelligencia területén.
(2) A tagállamok elősegítik az e rendelet alapján az MI-hivatalra ruházott feladatok ellátását.
65. cikk
A Mesterséges Intelligenciával Foglalkozó Európai Testület létrehozása és felépítése
(1) Létrejön a Mesterséges Intelligenciával Foglalkozó Európai Testület (a továbbiakban: a Testület).
(2) A Testületnek a tagállamok egy-egy képviselőjéből kell állnia. Az európai adatvédelmi biztosnak megfigyelőként kell részt vennie a Testületben. A Testület ülésein az MI-hivatalnak is részt kell vennie, a szavazásokon való részvétel nélkül. A Testület eseti alapon más nemzeti és uniós hatóságokat, szerveket vagy szakértőket is meghívhat az ülésekre, amennyiben a megvitatott kérdések számukra relevánsak.
(3) Az egyes képviselőket a tagállamaik jelölik ki hároméves, egyszer megújítható időtartamra.
(4) A tagállamok biztosítják, hogy a Testületben részt vevő képviselőik:
a) a tagállamukban rendelkeznek a releváns kompetenciákkal és hatáskörökkel ahhoz, hogy aktívan hozzájáruljanak a Testületnek a 66. cikkben említett feladatai teljesítéséhez;
b) a Testület felé egyedüli kapcsolattartó pontként vannak kijelölve, és adott esetben - figyelembe véve a tagállamok igényeit - egyedüli kapcsolattartó pontként az érdekelt felek számára;
c) felhatalmazással rendelkeznek arra, hogy elősegítsék a tagállamuk illetékes nemzeti hatóságai közötti összhangot és koordinációt e rendelet végrehajtása tekintetében, többek között a Testületen belüli feladataik ellátása céljából releváns adatok és információk gyűjtése révén.
(5) A tagállamok kijelölt képviselői kétharmados többséggel fogadják el a Testület eljárási szabályzatát. Az eljárási szabályzatban meg kell állapítani különösen a kiválasztási folyamat eljárásait, az elnök megbízatásának időtartamát és feladatainak leírását, a szavazásra vonatkozó részletes szabályokat, valamint a Testület és alcsoportjai tevékenységeinek megszervezését.
(6) A Testületnek létre kell hoznia két állandó alcsoportot, hogy platformot biztosítsanak a piacfelügyeleti hatóságok, illetve a bejelentő hatóságok közötti együttműködéshez és véleménycseréhez a piacfelügyelettel, illetve a bejelentett szervezetekkel kapcsolatos ügyekről.
A piacfelügyelettel foglalkozó állandó alcsoportnak e rendelet tekintetében az (EU) 2019/1020 rendelet 30. cikke értelmében vett igazgatási együttműködési csoportként kell eljárnia.
A Testület adott esetben, konkrét kérdések megvizsgálása céljából újabb állandó vagy ideiglenes alcsoportokat hozhat létre. Adott esetben a 67. cikkben említett tanácsadó fórum képviselőit megfigyelői minőségben meg lehet hívni ilyen alcsoportokba vagy ezen alcsoportok egyes üléseire.
(7) A Testület felépítésének és működésének biztosítania kell a Testület tevékenységeinek objektivitását és pártatlanságát.
(8) A Testület elnöki tisztét az egyik tagállam képviselőjének kell betöltenie. Az MI-hivatal látja el a Testület titkári feladatait, az elnök kérésére összehívja az üléseket, valamint elkészíti a napirendet a Testület e rendelet és eljárási szabályzata szerinti feladatainak megfelelően.
66. cikk
A Testület feladatai
A Testületnek tanácsadással és segítségnyújtással kell támogatnia Bizottságot és a tagállamokat e rendelet következetes és hatékony alkalmazásának elősegítése érdekében. E célból a Testület különösen:
a) hozzájárulhat az e rendelet alkalmazásáért felelős illetékes nemzeti hatóságok közötti koordinációhoz, és az érintett piacfelügyeleti hatóságokkal együttműködve és azok beleegyezésével támogathatja a piacfelügyeleti hatóságoknak a 74. cikk (11) bekezdésében említett közös tevékenységeit;
b) összegyűjtheti és megoszthatja a tagállamok között a műszaki és szabályozási szaktudást és a legjobb gyakorlatokat;
c) tanácsadást nyújthat e rendelet végrehajtásával kapcsolatban, különösen az általános célú MI-modellekre vonatkozó szabályok végrehajtása tekintetében;
d) hozzájárulhat a tagállamok közigazgatási gyakorlatainak harmonizálásához, többek között a 46. cikkben említett, a megfelelőségértékelési eljárásoktól való eltéréssel, az MI szabályozói tesztkörnyezetek működésével, valamint az 57., az 59. és a 60. cikkben említett, valós körülmények közötti teszteléssel kapcsolatban;
e) a Bizottság kérésére vagy saját kezdeményezésére ajánlásokat és írásbeli véleményeket adhat ki az e rendelet végrehajtásával, valamint következetes és hatékony alkalmazásával kapcsolatos bármely releváns kérdésben, beleértve a következőket is:
i. az e rendelet szerinti magatartási kódexek és gyakorlati kódexek, valamint a Bizottság iránymutatásainak kidolgozása és alkalmazása;
ii. e rendeletnek a 112. cikk szerinti értékelése és felülvizsgálata, többek között a 73. cikkben említett súlyos váratlan eseményekről szóló jelentések, valamint a 71. cikkben említett uniós adatbázis működése és a felhatalmazáson alapuló jogi aktusok vagy végrehajtási jogi aktusok előkészítése tekintetében, továbbá e rendeletnek az I. mellékletben felsorolt uniós harmonizációs jogszabályokkal való esetleges összehangolása tekintetében;
iii. a III. fejezet 2. szakaszában meghatározott követelményekre vonatkozó műszaki előírások vagy meglévő szabványok;
iv. a 40. és a 41. cikkben említett harmonizált szabványok vagy közös előírások használata;
v. olyan tendenciák, mint például az európai globális versenyképesség a mesterséges intelligencia terén, a mesterséges intelligencia elterjedése az Unióban, valamint a digitális készségek fejlesztése;
vi. az MI-értékláncok folyamatosan változó tipológiájával, különösen az ebből eredően az elszámoltathatóság tekintetében jelentkező következményekkel kapcsolatos tendenciák;
vii. a III. melléklet esetlegesen szükséges módosítása a 7. cikkel összhangban, valamint az 5. cikk 112. cikk szerinti esetlegesen szükséges átdolgozása, figyelembe véve a rendelkezésre álló releváns tudományos eredményeket és a legújabb technológiai fejleményeket;
f) támogathatja a Bizottságot az MI-jártasságnak, valamint az MI-rendszerek használatával kapcsolatos, a nyilvánosságot célzó figyelemfelkeltő tevékenységeknek és az MI-rendszerek használatával kapcsolatos előnyök, kockázatok, biztosítékok, jogok és kötelezettségek megértésének az előmozdításában;
g) elősegítheti a közös kritériumok kidolgozását, valamint az e rendeletben meghatározott releváns fogalmaknak a piaci szereplők és az illetékes hatóságok általi közös értelmezését, többek között a referenciaértékek kidolgozásához való hozzájárulás által;
h) adott esetben együttműködhet egyéb uniós intézményekkel, szervekkel és hivatalokkal, valamint érintett uniós szakértői csoportokkal és hálózatokkal, különösen a termékbiztonság, a kiberbiztonság, a verseny, a digitális és médiaszolgáltatások, a pénzügyi szolgáltatások, a fogyasztóvédelem, az adatvédelem és az alapvető jogok védelme területén;
i) hozzájárulhat a harmadik országok illetékes hatóságaival és a nemzetközi szervezetekkel való hatékony együttműködéshez;
j) segítheti az illetékes nemzeti hatóságokat és a Bizottságot az e rendelet végrehajtásához szükséges szervezeti és műszaki szakértelem fejlesztésében, többek között azáltal, hogy hozzájárul az e rendelet végrehajtásában részt vevő tagállami személyzet képzési igényeinek felméréséhez;
k) segítheti az MI-hivatalt abban, hogy támogassa az illetékes nemzeti hatóságokat az MI szabályozói tesztkörnyezetek kialakításában és fejlesztésében, valamint elősegítheti az MI szabályozói tesztkörnyezetek közötti együttműködést és információmegosztást;
l) hozzájárulhat és megfelelő tanácsadással szolgálhat iránymutatások kidolgozásához;
m) tanácsot adhat a Bizottságnak az MI-vel kapcsolatos nemzetközi kérdésekkel kapcsolatban;
n) állásfoglalásokat nyújthat be a Bizottság számára az általános célú MI-modellekre vonatkozó minősített riasztásokról;
o) állásfoglalásokat kaphat a tagállamoktól az általános célú MI-modellekre vonatkozó minősített riasztásokról, valamint az MI-rendszerek, különösen az általános célú MI-modelleket integráló rendszerek nyomon követésével és végrehajtásával kapcsolatos nemzeti tapasztalatokról és gyakorlatokról.
67. cikk
Tanácsadó fórum
(1) Létre kell hozni egy tanácsadó fórumot, amelynek feladata, hogy műszaki szakértelmet biztosítson és tanácsadást nyújtson a Testület és a Bizottság számára, valamint hozzájáruljon az e rendelet szerinti feladataik ellátásához.
(2) A tanácsadó fórum tagságában az érdekelt felek kiegyensúlyozottan képviseltetik magukat, beleértve az ipart, az induló vállalkozásokat, a kkv-kat, a civil társadalmat és a tudományos köröket. A tanácsadó fórum tagságának kiegyensúlyozottnak kell lennie a kereskedelmi és nem kereskedelmi érdekek, valamint - a kereskedelmi érdekek kategóriáján belül - a kkv-k és más vállalkozások tekintetében.
(3) A Bizottság a tanácsadó fórum tagjait - a (2) bekezdésben meghatározott szempontokkal összhangban - a mesterséges intelligencia területén elismert szakértelemmel rendelkező érdekelt felek köréből nevezi ki.
(4) A tanácsadó fórum tagjainak megbízatása két évre szól, és legfeljebb négy évvel meghosszabbítható.
(5) Az Alapjogi Ügynökség, az ENISA, az Európai Szabványügyi Bizottság (CEN), az Európai Elektrotechnikai Szabványügyi Bizottság (CENELEC) és az Európai Távközlési Szabványügyi Intézet (ETSI) a tanácsadó fórum állandó tagjai.
(6) A tanácsadó bizottság megállapítja eljárási szabályzatát. Tagjai közül - a (2) bekezdésben meghatározott szempontokkal összhangban - két társelnököt kell választania. A társelnökök megbízatása két évre szól, és egyszer megújítható.
(7) A tanácsadó fórumnak évente legalább két ülést kell tartania. A tanácsadó fórum szakértőket és más érdekelt feleket hívhat meg üléseire.
(8) A tanácsadó fórum a Testület vagy a Bizottság kérésére véleményeket, ajánlásokat és írásbeli észrevételeket dolgozhat ki.
(9) A tanácsadói fórum adott esetben állandó vagy ideiglenes alcsoportokat hozhat létre az e rendelet célkitűzéseivel kapcsolatos konkrét kérdések vizsgálatára.
(10) A tanácsadó fórumnak tevékenységeiről éves jelentést kell készítenie. Ezt a jelentést nyilvánosan hozzáférhetővé kell tenni.
68. cikk
Független szakértők tudományos testülete
(1) A Bizottság végrehajtási jogi aktus útján rendelkezik egy független szakértőkből álló tudományos testület (a továbbiakban: a tudományos testület) létrehozásáról, amely az e rendelet szerinti végrehajtási tevékenységek támogatására hivatott. Ezt a végrehajtási jogi aktust a 98. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.
(2) A tudományos testület olyan szakértőkből áll, akiket a Bizottság választ ki az MI területén meglévő, a (3) bekezdésben meghatározott feladatok ellátásához szükséges naprakész tudományos vagy műszaki szakértelem alapján, és a testület képes bizonyítani, hogy a következő feltételek mindegyikének megfelel:
a) különleges szakértelemmel és alkalmassággal, valamint tudományos vagy műszaki szakértelemmel rendelkezik az MI területén;
b) független az MI-rendszerek vagy az általános célú MI-modellek bármely szolgáltatójától;
c) képes gondosan, pontosan és objektíven végezni tevékenységeit.
A Bizottság - a Testülettel konzultálva - az igényeknek megfelelően állapítja meg a testületben részt vevő szakértők számát, és biztosítja a méltányos nemek szerinti és földrajzi képviseletet.
(3) A tudományos testület tanácsadást és támogatást kell nyújt az MI-hivatal számára, különösen a következő feladatok tekintetében:
a) e rendelet végrehajtásának és érvényesítésének támogatása az általános célú MI-modellek és -rendszerek tekintetében, különösen a következők révén:
i. az MI-hivatal figyelmeztetése az általános célú MI-modellek Uniós szinten lehetséges rendszerszintű kockázataira a 90. cikkel összhangban;
ii. hozzájárulás az általános célú MI-modellek és -rendszerek képességeinek - többek között referenciaértékek révén történő - értékelésére szolgáló eszközök és módszerek kifejlesztéséhez;
iii. tanácsadás nyújtása a rendszerszintű kockázatot jelentő általános célú MI-modellek besorolásával kapcsolatban;
iv. tanácsadás nyújtása különböző általános célú MI-modellek és -rendszerek besorolásával kapcsolatban;
v. hozzájárulás eszközök és minták kidolgozásához;
b) a piacfelügyeleti hatóságok kérésére a munkájuk támogatása;
c) a piacfelügyeleti hatóságok hatásköreinek sérelme nélkül a 74. cikk (11) bekezdésében említett, határokon átnyúló piacfelügyeleti tevékenységek támogatása;
d) az MI-hivatal támogatása feladatainak ellátásában a 81. cikk szerinti uniós védintézkedési eljárással összefüggésben.
(4) A tudományos testületben részt vevő szakértőknek feladataikat pártatlanul és objektíven kell ellátniuk, továbbá biztosítaniuk kell a feladataik és tevékenységeik végzése során szerzett információk és adatok bizalmas jellegét. A (3) bekezdés szerinti feladataik ellátása során senkitől sem kérhetnek vagy fogadhatnak el utasításokat. Minden szakértőnek érdekeltségi nyilatkozatot kell tennie, amelyet nyilvánosan hozzáférhetővé kell tenni. Az MI-hivatal rendszereket és eljárásokat hoz létre a potenciális összeférhetetlenségek aktív kezelésére és megelőzésére.
(5) Az (1) bekezdésben említett végrehajtási jogi aktusnak rendelkezéseket kell tartalmaznia azon feltételekre, eljárásokra és részletes szabályokra vonatkozóan, amelyek alapján a tudományos testület és tagjai riasztásokat bocsáthatnak ki, és kérhetik az MI-hivatal segítségét a tudományos testület feladatainak ellátásához.
69. cikk
Tagállami hozzáférés a szakértők állományához
(1) A tagállamok felkérhetik a tudományos testület szakértőit, hogy nyújtsanak támogatást az e rendelet szerinti végrehajtási tevékenységeikhez.
(2) A tagállamok kötelezhetők arra, hogy a szakértők által nyújtott tanácsadásért és támogatásért díjat fizessenek. A díjak szerkezetére és összegére, valamint a megtérítendő költségek mértékére és szerkezetére vonatkozó rendelkezéseket a 68. cikk (1) bekezdésben említett végrehajtási jogi aktusban kell meghatározni, szem előtt tartva e rendelet megfelelő végrehajtásának célkitűzéseit, a költséghatékonyságot és annak szükségességét, hogy valamennyi tagállam ténylegesen igénybe vehesse a szakértők segítségét.
(3) A Bizottság szükség esetén elősegíti, hogy a tagállamok megfelelő időben igénybe vehessék a szakértők segítségét, és biztosítja az uniós vizsgálóhelyek által a 84. cikk szerint, illetve a szakértők által e cikk szerint végzett támogató tevékenységek kombinációjának hatékony megszervezését, illetve hogy e kombináció a lehető legtöbb hozzáadott értéket nyújtsa.
2. SZAKASZ
Illetékes nemzeti hatóságok
70. cikk
Az illetékes nemzeti hatóságok és az egyedüli kapcsolattartó pontok kijelölése
(1) Minden tagállam legalább egy bejelentő hatóságot és legalább egy piacfelügyeleti hatóságot hoz létre vagy jelöl ki illetékes nemzeti hatóságként e rendelet végrehajtásának céljából. Az említett illetékes nemzeti hatóságoknak hatásköreiket függetlenül, pártatlanul és elfogulatlanul kell gyakorolniuk, hogy megőrizzék tevékenységeik és feladataik objektivitását, és biztosítsák e rendelet alkalmazását és végrehajtását. Az említett hatóságok tagjainak tartózkodniuk kell minden, a feladataikkal összeférhetetlen intézkedéstől. Feltéve, hogy az említett elveket tiszteletben tartják, az ilyen tevékenységeket és feladatokat - a tagállam szervezeti igényeinek megfelelően - egy vagy több kijelölt hatóság is elláthatja.
(2) A tagállamok közlik a Bizottsággal a bejelentő hatóságok és a piacfelügyeleti hatóságok nevét és e hatóságok feladatait, valamint az ezekkel kapcsolatos minden későbbi változást. A tagállamok 2025. augusztus 2-ig nyilvánosan hozzáférhetővé teszik az illetékes hatóságokkal és az egyedüli kapcsolattartó pontokkal való, elektronikus kommunikációs eszközök útján történő kapcsolatfelvétel módjára vonatkozó információkat. A tagállamok kijelölik a piacfelügyeleti hatóságot, hogy e rendelet tekintetében egyedüli kapcsolattartó pontként járjon el, és bejelentik a Bizottságnál az egyedüli kapcsolattartó pont nevét. A Bizottság létrehozza az egyedüli kapcsolattartó pontok nyilvánosan elérhető jegyzékét.
(3) A tagállamok biztosítják, hogy illetékes nemzeti hatóságaik megfelelő technikai, pénzügyi és emberi erőforrásokkal, valamint infrastruktúrával rendelkezzenek az e rendelet szerinti feladataik hatékony ellátásához. Így különösen, az illetékes nemzeti hatóságoknak elegendő számú, tartósan rendelkezésre álló munkatárssal kell rendelkezniük, akiknek a kompetenciái és szakértelme kitejed az MI-technológiák, az adatok és az adatszámítás, a személyes adatok védelme, a kiberbiztonság, az alapvető jogok, az egészségügyi és biztonsági kockázatok alapos megértésére, valamint a meglévő szabványok és jogi követelmények ismeretére. A tagállamok évente értékelik, és szükség esetén frissítik az e bekezdésben említett kompetencia- és erőforrás-követelményeket.
(4) Az illetékes nemzeti hatóságok megfelelő intézkedéseket hoznak, hogy megfelelő szintű kiberbiztonságot biztosítsanak.
(5) Feladataik ellátása során az illetékes nemzeti hatóságoknak a 78. cikkben meghatározott titoktartási kötelezettségeknek megfelelően kell eljárniuk.
(6) A tagállamok 2025. augusztus 2-ig, majd azt követően kétévente egyszer jelentést tesznek a Bizottságnak az illetékes nemzeti hatóságok pénzügyi erőforrásainak, műszaki felszereléseinek és emberi erőforrásainak helyzetéről, és értékelik azok megfelelőségét. A Bizottság ezeket az információkat megvitatás és esetleges ajánlások céljából továbbítja a Testületnek.
(7) A Bizottság elősegíti az illetékes nemzeti hatóságok közötti tapasztalatcserét.
(8) Az illetékes nemzeti hatóságok iránymutatást és tanácsot adhatnak e rendelet végrehajtásával kapcsolatban, különösen a kkv-knak, köztük az induló innovatív vállalkozásoknak, adott esetben figyelembe véve a Testület és a Bizottság iránymutatását és tanácsait. Amennyiben az illetékes nemzeti hatóságok egyéb uniós jog hatálya alá tartozó területeken kívánnak iránymutatást és tanácsot adni valamely MI-rendszerrel kapcsolatban, adott esetben konzultálniuk kell az említett uniós jogszabályok szerinti illetékes nemzeti hatóságokkal.
(9) Amennyiben az uniós intézmények, szervek, hivatalok vagy ügynökségek e rendelet hatálya alá tartoznak, a felügyeletük tekintetében az európai adatvédelmi biztos jár el illetékes hatóságként.
VIII. FEJEZET
A NAGY KOCKÁZATÚ MI-RENDSZEREK UNIÓS ADATBÁZISA
71. cikk
A III. mellékletben felsorolt nagy kockázatú MI-rendszerek uniós adatbázisa
(1) A Bizottság a tagállamokkal együttműködve uniós adatbázist hoz létre és tart fenn, amely az e cikk (2) és (3) bekezdésben említett információkat tartalmazza a 49. és a 60. cikknek megfelelően regisztrált, a 6. cikk (2) bekezdésében említett nagy kockázatú MI-rendszerekre, valamint a 6. cikk (3) bekezdése alapján nagy kockázatúnak nem tekintett és a 6. cikk (4) bekezdésének és a 49. cikknek megfelelően regisztrált MI-rendszerekre vonatkozóan. Egy ilyen adatbázis funkcionális jellemzőinek meghatározásakor a Bizottság konzultál a releváns szakértőkkel, és az ilyen adatbázis funkcionális jellemzőinek frissítésekor a Bizottság a Testülettel konzultál.
(2) A VIII. melléklet A. és B. szakaszában felsorolt adatokat a szolgáltatóknak vagy adott esetben a meghatalmazott képviselőnek kell bevinnie az uniós adatbázisba.
(3) A VIII. melléklet C. szakaszában felsorolt adatokat azon alkalmazónak kell bevinnie az uniós adatbázisba a 49. cikk (3) és (4) bekezdésével összhangban, aki hatóság, ügynökség vagy szerv, illetve hatóság, ügynökség vagy szerv nevében jár el.
(4) A 49. cikk (4) bekezdésében és a 60. cikk (4) bekezdésének c) pontjában említett szakasz kivételével az uniós adatbázisban szereplő, a 49. cikkel összhangban rögzített információknak felhasználóbarát módon hozzáférhetőnek és nyilvánosan elérhetőnek kell lenniük. Az információknak könnyen navigálhatónak és géppel olvashatónak kell lenniük. A 60. cikkel összhangban rögzített információkhoz csak a piacfelügyeleti hatóságok és a Bizottság férhetnek hozzá, kivéve, ha a leendő szolgáltató vagy a szolgáltató hozzájárulását adta ahhoz, hogy az információkat a nyilvánosság számára is hozzáférhetővé tegyék.
(5) Az uniós adatbázis csak annyiban tartalmazhat személyes adatokat, amennyiben arra az e rendelettel összhangban történő információgyűjtéshez és -kezeléshez szükség van. Az említett információknak tartalmazniuk kell azon természetes személyek nevét és elérhetőségét, akik a rendszer regisztrálásáért felelnek, valamint jogosultak a szolgáltató vagy - adott esetben -- az alkalmazó képviseletére.
(6) Az uniós adatbázist a Bizottság felügyeli. Megfelelő műszaki és adminisztratív támogatást biztosít a szolgáltatók, a leendő szolgáltatók és az alkalmazók számára. Az uniós adatbázisnak meg kell felelnie az alkalmazandó akadálymentesítési követelményeknek.
IX. FEJEZET
FORGALOMBA HOZATAL UTÁNI NYOMON KÖVETÉS, INFORMÁCIÓMEGOSZTÁS ÉS PIACFELÜGYELET
1. SZAKASZ
Forgalomba hozatal utáni nyomon követés
72. cikk
A szolgáltató által végzett, forgalomba hozatal utáni nyomon követés és a nagy kockázatú MI-rendszerekre vonatkozó, forgalomba hozatal utáni nyomonkövetési terv
(1) A szolgáltatóknak az MI-technológiák jellegével és a nagy kockázatú MI-rendszer kockázataival arányos módon forgalomba hozatal utáni nyomonkövetési rendszert kell létrehozniuk, és azt dokumentálniuk kell.
(2) A forgalomba hozatal utáni nyomonkövetési rendszernek aktívan és szisztematikusan gyűjtenie, dokumentálnia és elemeznie kell az adott esetben az alkalmazók által szolgáltatott, vagy más forrásokból származó, a nagy kockázatú MI-rendszerek teljes élettartamuk során mutatott teljesítményére vonatkozó releváns adatokat, amelyek lehetővé teszik a szolgáltató számára annak értékelését, hogy az MI-rendszerek folyamatosan megfelelnek-e a III. fejezet 2. szakaszában meghatározott követelményeknek. A forgalomba hozatal utáni nyomon követésnek adott esetben magában kell foglalnia az egyéb MI-rendszerekkel való kölcsönhatás elemzését. Ez a kötelezettség nem terjedhet ki azon alkalmazók érzékeny operatív adataira, amelyek bűnüldöző hatóságok.
(3) A forgalomba hozatal utáni nyomonkövetési rendszernek egy forgalomba hozatal utáni nyomonkövetési terven kell alapulnia. A forgalomba hozatal utáni nyomonkövetési tervnek a IV. mellékletben említett műszaki dokumentáció részét kell képeznie. A Bizottság 2026. február 2-ig végrehajtási jogi aktust fogad el, amelyben megállapítja a forgalomba hozatal utáni nyomonkövetési terv mintáját meghatározó részletes rendelkezéseket és a tervben feltüntetendő elemek jegyzékét. Ezt a végrehajtási jogi aktust a 98. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.
(4) Az I. melléklet A. szakaszában felsorolt uniós harmonizációs jogszabályok hatálya alá tartozó nagy kockázatú MI-rendszerek esetében, amennyiben az említett jogszabályok alapján már létrehoztak egy forgalomba hozatal utáni nyomonkövetési rendszert és tervet, a következetesség biztosítása, az átfedések elkerülése és a további terhek minimalizálása érdekében a szolgáltatók dönthetnek úgy, hogy adott esetben a (3) bekezdésben említett minta felhasználásával integrálják az (1), a (2) és a (3) bekezdésben ismertetett szükséges elemeket az említett jogszabályok alapján már meglévő rendszerekbe és tervekbe, feltéve, hogy az egyenértékű szintű védelmet ér el.
Az e bekezdés első albekezdése a III. melléklet 5. pontjában említett azon, nagy kockázatú MI-rendszerekre is alkalmazandó, amelyeket olyan pénzügyi intézmények hoznak forgalomba vagy helyeznek üzembe, amelyek a pénzügyi szolgáltatásokra vonatkozó uniós jog értelmében a belső irányításukra, szabályaikra vagy eljárásaikra vonatkozó követelmények hatálya alá tartoznak.
2. SZAKASZ
A súlyos váratlan eseményekre vonatkozó információk megosztása
73. cikk
A súlyos váratlan események bejelentése
(1) Az uniós piacon forgalomba hozott nagy kockázatú MI-rendszerek szolgáltatóinak minden súlyos váratlan eseményt be kell jelenteniük azon tagállamok piacfelügyeleti hatóságainak, ahol az esemény történt.
(2) Az (1) bekezdésben említett bejelentést haladéktalanul meg kell tenni azt követően, hogy a szolgáltató megállapította az MI-rendszer és a súlyos váratlan esemény közötti ok-okozati összefüggést vagy az ilyen összefüggés észszerű valószínűségét, de legkésőbb 15 nappal azt követően, hogy a szolgáltató, vagy adott esetben az alkalmazó tudomást szerzett a súlyos váratlan eseményről.
Az első albekezdésben említett bejelentésre nyitva álló időszak meghatározása során figyelembe kell venni a súlyos váratlan esemény súlyosságát.
(3) E cikk (2) bekezdésétől eltérve, a kiterjedt jogsértés vagy a 3. cikk 49. pontjának b) alpontjában meghatározott súlyos váratlan esemény esetén az e cikk (1) bekezdésében említett bejelentést haladéktalanul, de legkésőbb két nappal azt követően meg kell tenni, hogy a szolgáltató vagy adott esetben az alkalmazó tudomást szerzett az eseményről.
(4) A (2) bekezdéstől eltérve, valamely személy halála esetén a bejelentést haladéktalanul meg kell tenni azt követően, hogy a szolgáltató vagy az alkalmazó megállapította a nagy kockázatú MI-rendszer és a súlyos váratlan esemény közötti ok-okozati összefüggést, vagy amint feltételezi azt, de legkésőbb 10 nappal azt követően, hogy a szolgáltató vagy adott esetben az alkalmazó tudomást szerzett a súlyos váratlan eseményről.
(5) Amennyiben az időben történő bejelentés biztosításához szükséges, a szolgáltató vagy adott esetben az alkalmazó nem teljes körű, előzetes bejelentést, majd ezt követően teljes körű bejelentést tehet.
(6) A súlyos váratlan esemény (1) bekezdés szerinti bejelentését követően a szolgáltatónak haladéktalanul el kell végeznie a súlyos váratlan eseménnyel és az érintett MI-rendszerrel kapcsolatos szükséges vizsgálatokat. Ennek magában kell foglalnia az esemény kockázatértékelését és a korrekciós intézkedéseket.
A szolgáltatónak az első albekezdésben említett vizsgálatok során együtt kell működnie az illetékes hatóságokkal és adott esetben az érintett bejelentett szervezettel, továbbá a szolgáltató - az illetékes hatóságok ilyen intézkedésről való tájékoztatását megelőzően - nem végezhet olyan vizsgálatot, amely magában foglalja az érintett MI-rendszer oly módon történő megváltoztatását, amely hatással lehet az esemény okainak későbbi értékelésére.
(7) A 3. cikk 49. pontjának c) alpontjában említett súlyos váratlan eseménnyel kapcsolatos értesítés kézhezvételét követően a releváns piacfelügyeleti hatóságnak tájékoztatnia kell a 77. cikk (1) bekezdésében említett nemzeti hatóságokat vagy szerveket. A Bizottság célzott iránymutatást dolgoz ki az e cikk (1) bekezdésben meghatározott kötelezettségeknek való megfelelés elősegítése érdekében. Az említett iránymutatást 2025. augusztus 2-ig kell kiadni, és rendszeresen értékelni kell.
(8) A piacfelügyeleti hatóságnak az e cikk (1) bekezdésében említett értesítés kézhezvételétől számított hét napon belül meg kell hoznia az (EU) 2019/1020 rendelet 19. cikkében előírt megfelelő intézkedéseket, továbbá követnie kell az említett rendeletben előírt értesítési eljárásokat.
(9) A III. mellékletben említett azon nagy kockázatú MI-rendszerek esetében, amelyeket olyan szolgáltatók hoznak forgalomba vagy helyeznek üzembe, amelyek az e rendeletben meghatározottakkal egyenértékű jelentéstételi követelményeket megállapító uniós jogalkotási eszközök hatálya alá tartoznak, a súlyos váratlan esemény bejelentésére vonatkozó kötelezettségnek a 3. cikk 49. pontjának c) alpontjában említett eseményekre kell korlátozódnia.
(10) Az olyan nagy kockázatú MI-rendszerek esetében, amelyek az (EU) 2017/745 rendelet és az (EU) 2017/746 rendelet hatálya alá tartozó eszközök biztonsági alkotórészei vagy maguk is eszközök, a súlyos váratlan események bejelentésére vonatkozó kötelezettségnek az e rendelet 3. cikke 49. pontjának c) alpontjában említett eseményekre kell korlátozódnia, és az értesítést a váratlan esemény bekövetkeztének helye szerinti tagállam által az adott célra kiválasztott illetékes nemzeti hatóságnak kell megküldeni.
(11) Az illetékes nemzeti hatóságoknak az (EU) 2019/1020 rendelet 20. cikkével összhangban haladéktalanul értesíteniük kell a Bizottságot minden súlyos váratlan eseményről, függetlenül attól, hogy hoztak-e intézkedéseket az eseménnyel kapcsolatban.
3. SZAKASZ
Végrehajtás
74. cikk
Az MI-rendszerek piacfelügyelete és piaci ellenőrzése az uniós piacon
(1) Az (EU) 2019/1020 rendelet az e rendelet hatálya alá tartozó MI-rendszerekre alkalmazandó. E rendelet hatékony végrehajtása érdekében:
a) az (EU) 2019/1020 rendelet szerinti gazdasági szereplőre történő bármely hivatkozást úgy kell értelmezni, hogy az magában foglalja az e rendelet 2. cikkének (1) bekezdésében meghatározott valamennyi gazdasági szereplőt;
b) az (EU) 2019/1020 rendelet szerinti termékre történő bármely hivatkozást úgy kell értelmezni, hogy az magában foglalja az e rendelet hatálya alá tartozó valamennyi MI-rendszert.
(2) A piacfelügyeleti hatóságoknak az (EU) 2019/1020 rendelet 34. cikkének (4) bekezdése szerinti jelentéstételi kötelezettségeik részeként évente jelentést kell tenniük a Bizottságnak és az érintett nemzeti versenyhatóságoknak a piacfelügyeleti tevékenységek során azonosított minden olyan információról, amely a versenyszabályokra vonatkozó uniós jog alkalmazása szempontjából potenciálisan érdekes lehet. Ezenfelül évente jelentést kell tenniük a Bizottságnak arról, hogy az adott évben alkalmaztak-e tiltott gyakorlatokat, valamint a meghozott intézkedésekről.
(3) Az I. melléklet A. szakaszában felsorolt uniós harmonizációs jogszabályok hatálya alá tartozó termékekhez kapcsolódó nagy kockázatú MI-rendszerek esetében a piacfelügyeleti hatóság e rendelet alkalmazásában az említett jogi aktusok alapján kijelölt, a piacfelügyeleti tevékenységekért felelős hatóság.
Az első albekezdéstől eltérve, és megfelelő körülmények között a tagállamok egy másik releváns hatóságot is kijelölhetnek arra, hogy piacfelügyeleti hatóságként járjon el, feltéve, hogy biztosítják az I. mellékletben felsorolt uniós harmonizációs jogszabályok végrehajtásáért felelős, releváns ágazati piacfelügyeleti hatóságokkal való koordinációt.
(4) Az e rendelet 79-83. cikkében említett eljárások nem alkalmazandók az I. melléklet A. szakaszában felsorolt uniós harmonizációs jogszabályok hatálya alá tartozó termékekhez kapcsolódó MI-rendszerekre, amennyiben az ilyen jogi aktusok már rendelkeznek egyenértékű szintű védelmet biztosító, azonos célú eljárásokról. Ilyen esetekben helyettük a releváns ágazati eljárások alkalmazandók.
(5) A piacfelügyeleti hatóságok (EU) 2019/1020 rendelet 14. cikke szerinti hatásköreinek sérelme nélkül, a piacfelügyeleti hatóságok e rendelet hatékony végrehajtásának biztosítása céljából adott esetben távolról is gyakorolhatják az említett rendelet 14. cikke (4) bekezdésének d) és j) pontjában említett hatásköröket.
(6) A pénzügyi szolgáltatásokra vonatkozó uniós jog által szabályozott pénzügyi intézmények által forgalomba hozott, üzembe helyezett vagy használt nagy kockázatú MI-rendszerek esetében e rendelet alkalmazásában a piacfelügyeleti hatóság az említett intézmények e jogszabályok szerinti pénzügyi felügyeletéért felelős releváns nemzeti hatóság, amennyiben az MI-rendszer forgalomba hozatala, üzembe helyezése vagy használata közvetlenül az említett pénzügyi szolgáltatások nyújtásához kapcsolódik.
(7) A (6) bekezdéstől eltérve, megfelelő körülmények között és feltéve, hogy a koordináció biztosított, a tagállam e rendelet alkalmazásában egy másik megfelelő hatóságot is kijelölhet piacfelügyeleti hatóságként.
Az 1024/2013/EU rendelettel létrehozott egységes felügyeleti mechanizmusban részt vevő, a 2013/36/EU irányelv alapján szabályozott hitelintézeteket felügyelő nemzeti piacfelügyeleti hatóságoknak haladéktalanul be kell jelenteniük az Európai Központi Banknak a piacfelügyeleti tevékenységeik során azonosított minden olyan információt, amely az Európai Központi Banknak az említett rendeletben meghatározott prudenciális felügyeleti feladatai szempontjából esetlegesen jelentőséggel bírhat.
(8) Az e rendelet III. mellékletének 1. pontjában felsorolt nagy kockázatú MI-rendszerek esetében, amennyiben a rendszereket bűnüldözési célokra, határellenőrzésre, valamint az igazságosság és a demokrácia területén használják, továbbá az e rendelet III. mellékletének 6., 7. és 8. pontjában felsorolt nagy kockázatú MI-rendszerek esetében, a tagállamok e rendelet alkalmazásában vagy az (EU) 2016/679 rendelet vagy az (EU) 2016/680 irányelv szerinti illetékes adatvédelmi felügyeleti hatóságokat, vagy az (EU) 2016/680 irányelv 41-44. cikkében megállapítottakkal azonos feltételek alapján kijelölt bármely egyéb hatóságot jelölnek ki piacfelügyeleti hatóságokként. A piacfelügyeleti tevékenységek semmilyen módon nem érinthetik az igazságügyi hatóságok függetlenségét, vagy nem befolyásolhatják egyébként a tevékenységeiket, amikor igazságügyi minőségükben járnak el.
(9) Amennyiben az Unió intézményei, szervei, hivatalai vagy ügynökségei e rendelet hatálya alá tartoznak, az európai adatvédelmi biztos jár el piacfelügyeleti hatóságukként, kivéve az igazságszolgáltatási hatáskörében eljáró Európai Unió Bíróságával kapcsolatban.
(10) A tagállamok elősegítik az e rendelet alapján kijelölt piacfelügyeleti hatóságok és az I. mellékletben vagy más uniós jogszabályban felsorolt olyan uniós harmonizációs jogszabályok alkalmazását felügyelő egyéb releváns nemzeti hatóságok vagy szervek közötti koordinációt, amelyek a nagy kockázatú MI-rendszerek szempontjából relevánsak lehetnek.
(11) A piacfelügyeleti hatóságok és a Bizottság számára lehetővé kell tenni, hogy javaslatot tegyenek olyan, a piacfelügyeleti hatóságok által önállóan vagy a Bizottsággal közösen végzendő közös tevékenységekre, például közös vizsgálatokra, amelyek célja - e rendelet vonatkozásában - a megfelelés előmozdítása, a meg nem felelés feltárása, a figyelemfelhívás vagy az iránymutatás a nagy kockázatú MI-rendszerek azon konkrét kategóriáira tekintettel, amelyekről bebizonyosodik, hogy két vagy több tagállamban jelentenek súlyos kockázatot az (EU) 2019/1020 rendelet 9. cikkével összhangban. Az MI-hivatalnak a közös vizsgálatokhoz koordinációs támogatást kell nyújtania.
(12) Az (EU) 2019/1020 rendelet alapján biztosított hatáskörök sérelme nélkül, adott esetben és a piacfelügyeleti hatóság feladatainak ellátásához szükséges mértékre korlátozva, a szolgáltatónak teljes hozzáférést kell adnia a piacfelügyeleti hatóságok számára a dokumentációhoz, valamint a nagy kockázatú MI-rendszer kifejlesztéséhez alkalmazott tanító-, validálási és tesztadatkészletekhez, többek között - adott esetben és biztonsági garanciák mellett - alkalmazásprogramozási felületeken (API) vagy távoli hozzáférést lehetővé tevő egyéb releváns műszaki megoldásokon és eszközökön keresztül.
(13) Indokolással ellátott kérésre és kizárólag a következő két feltétel együttes teljesülése esetén a piacfelügyeleti hatóságok számára hozzáférést kell biztosítani a nagy kockázatú MI-rendszer forráskódjához:
a) a forráskódhoz való hozzáférés annak értékeléséhez szükséges, hogy a nagy kockázatú MI-rendszer megfelel-e a III. fejezet 2. szakaszában meghatározott követelményeknek; és
b) a szolgáltató által rendelkezésre bocsátott adatokon és dokumentáción alapuló tesztelési vagy auditeljárásokat és ellenőrzéseket kimerítették, illetve azok elégtelennek bizonyultak.
(14) A piacfelügyeleti hatóságok által megszerzett információkat, illetve dokumentációt a 78. cikkben meghatározott titoktartási kötelezettségeknek megfelelően kell kezelni.
75. cikk
Kölcsönös segítségnyújtás, piacfelügyelet és az általános célú MI-rendszerek ellenőrzése
(1) Amennyiben valamely MI-rendszer általános célú MI-modellre épül, és a modell és a rendszer kifejlesztését ugyanazon szolgáltató végezte, az MI-hivatalnak hatáskörrel kell rendelkeznie annak nyomon követésére és felügyeletére, hogy az adott MI-rendszer megfelel-e az e rendelet szerinti követelményeknek. A nyomonkövetési és felügyeleti feladatainak ellátása érdekében az MI-hivatal rendelkezik egy piacfelügyeleti hatóság számára e szakaszban és az (EU) 2019/1020 rendeletben biztosított valamennyi hatáskörrel.
(2) Amennyiben a releváns piacfelügyeleti hatóságoknak elegendő okuk van úgy megítélni, hogy az olyan általános célú MI-rendszerek, amelyeket az alkalmazók közvetlenül használhatnak legalább egy, e rendelet értelmében nagy kockázatúnak minősített célra, nem felelnek meg az e rendeletben meghatározott követelményeknek, az említett hatóságoknak együtt kell működniük az MI-hivatallal a megfelelőségi értékelések elvégzése érdekében, és ennek megfelelően tájékoztatniuk kell a Testületet és a többi piacfelügyeleti hatóságot.
(3) Amennyiben a piacfelügyeleti hatóság azért nem tudja lezárni valamely nagy kockázatú MI-rendszer vizsgálatát, mert annak ellenére sem tud hozzáférni az általános célú MI-modellhez kapcsolódó bizonyos információkhoz, hogy minden megfelelő erőfeszítést megtett ezek megszerzése érdekében, indokolással ellátott kérelmet nyújthat be az MI-hivatalhoz, amelyen keresztül érvényre juttatható az említett információkhoz való hozzáférés. Ebben az esetben az MI-hivatalnak haladéktalanul, de legkésőbb 30 napon belül meg kell adnia a megkereső hatóságnak minden olyan információt, amelyet az MI-hivatal szükségesnek ítél valamely nagy kockázatú MI-rendszer meg nem felelésének megállapításához. A piacfelügyeleti hatóságoknak e rendelet 78. cikkével összhangban meg kell őrizniük az általuk kapott információk bizalmas jellegét. Az (EU) 2019/1020 rendelet VI. fejezetében előírt eljárás értelemszerűen alkalmazandó.
76. cikk
A valós körülmények közötti tesztelés piacfelügyeleti hatóságok általi felügyelete
(1) A piacfelügyeleti hatóságoknak illetékességgel és hatáskörrel kell rendelkezniük annak biztosítására, hogy a valós körülmények közötti tesztelés összhangban legyen e rendelettel.
(2) Amennyiben az 58. cikknek megfelelően MI szabályozói tesztkörnyezetben felügyelt MI-rendszerek esetében valós körülmények között végeznek tesztelést, a piacfelügyeleti hatóságoknak az MI szabályozói tesztkörnyezetet illetően betöltött felügyeleti szerepük részeként ellenőrizniük kell a 60. cikknek való megfelelést. Az említett hatóságok adott esetben engedélyezhetik, hogy a valós körülmények közötti tesztelést a 60. cikk (4) bekezdésének f) és g) pontjában meghatározott feltételektől eltérve, a szolgáltató vagy a leendő szolgáltató végezze el.
(3) Amennyiben a szolgáltató, a leendő szolgáltató vagy valamely harmadik fél tájékoztatta a piacfelügyeleti hatóságot egy súlyos váratlan eseményről, vagy ha a piacfelügyeleti hatóság más indokok alapján úgy véli, hogy a 60. és a 61. cikkben foglalt feltételek nem teljesültek, szükség szerint meghozhatja a következő határozatok valamelyikét a saját területén:
a) felfüggesztheti vagy megszüntetheti a valós körülmények közötti tesztelést;
b) kötelezheti a szolgáltatót vagy leendő szolgáltatót, valamint az alkalmazót és a leendő alkalmazót a valós körülmények közötti tesztelés bármely aspektusának módosítására.
(4) Amennyiben a piacfelügyeleti hatóság az e cikk (3) bekezdésében említett határozatot hozott, vagy a 60. cikk (4) bekezdésének b) pontja értelmében vett kifogást emelt, a határozatban vagy a kifogásban fel kell tüntetni annak indokait, és azt, hogy a szolgáltató vagy leendő szolgáltató miként támadhatja meg a határozatot vagy a kifogást.
(5) Adott esetben, amennyiben a piacfelügyeleti hatóság a (3) bekezdésben említett határozatot hozott, közölnie kell ennek indokait azon egyéb tagállamok piacfelügyeleti hatóságaival, amelyekben az MI-rendszert a tesztelési tervnek megfelelően tesztelték.
77. cikk
Az alapvető jogokat védő hatóságok hatáskörei
(1) Azon nemzeti hatóságoknak vagy szerveknek, amelyek felügyelik vagy érvényesítik a III. mellékletben említett nagy kockázatú MI-rendszerek használatával kapcsolatos, az alapvető jogok - köztük a megkülönböztetésmentességhez való jog - védelmét célzó uniós jogi kötelezettségek betartását, hatáskörrel kell rendelkezniük arra, hogy kérelmezzék az e rendelet alapján létrehozott vagy vezetett dokumentációt, és közérthető nyelven, valamint hozzáférhető formátumban hozzáférjenek ahhoz, amennyiben az adott dokumentációhoz való hozzáférés a megbízatásuk joghatóságuk keretein belüli hatékony teljesítéséhez szükséges. Az érintett hatóságnak vagy szervnek minden ilyen kérelemről tájékoztatnia kell az érintett tagállam piacfelügyeleti hatóságát.
(2) 2024. november 2-ig minden tagállam kijelöli az (1) bekezdésben említett hatóságokat vagy szerveket, és nyilvánosan hozzáférhetővé teszi az ezekről összeállított jegyzéket . A tagállamok megküldik a Bizottságnak és a többi tagállamnak a jegyzéket, és azt naprakészen tartják.
(3) Amennyiben az (1) bekezdésben említett dokumentáció nem elegendő annak megállapításához, hogy sor került-e az alapvető jogok védelmét célzó uniós jog szerinti kötelezettségek megsértésére, az (1) bekezdésben említett hatóság vagy szerv indokolással ellátott kérelmet intézhet a piacfelügyeleti hatósághoz a nagy kockázatú MI-rendszer műszaki megoldások útján történő tesztelésének megszervezésére. A piacfelügyeleti hatóságnak a kérelem beérkezését követően észszerű időn belül meg kell szerveznie a tesztelést a kérelmező hatóság vagy szerv szoros bevonásával.
(4) Az e cikk (1) bekezdésében említett nemzeti hatóságok vagy szervek által e cikk alapján megszerzett információkat és dokumentációt a 78. cikkben foglalt titoktartási kötelezettségeknek megfelelően kell kezelni.
78. cikk
Titoktartás
(1) A Bizottság, a piacfelügyeleti hatóságok és a bejelentett szervezetek, valamint az e rendelet alkalmazásában részt vevő egyéb természetes vagy jogi személyek az uniós vagy a nemzeti joggal összhangban tiszteletben tartják a feladataik ellátása során megszerzett információk és adatok titkosságát oly módon, hogy védjék különösen a következőket:
a) az (EU) 2016/943 európai parlamenti és tanácsi irányelv* 5. cikkében említett esetek kivételével a szellemitulajdon-jogok, valamint valamely természetes vagy jogi személy bizalmas üzleti információi vagy üzleti titkai, így például forráskódja;[30]
b) e rendelet hatékony végrehajtása, különösen az ellenőrzések, a vizsgálatok és az auditok céljából;
c) köz- és nemzetbiztonsági érdekek;
d) a büntetőjogi vagy közigazgatási eljárások lefolytatása;
e) az uniós vagy a nemzeti jog szerinti minősített adatok.
(2) Az e rendelet alkalmazásában részt vevő, (1) bekezdés szerinti hatóságok kizárólag olyan adatokat kérhetnek, amelyek az MI-rendszerek által jelentett kockázat értékeléséhez, valamint hatásköreik e rendeletnek és az (EU) 2019/1020 rendeletnek megfelelő gyakorlásához kifejezetten szükségesek. Megfelelő és hatékony kiberbiztonsági intézkedéseket kell bevezetniük a megszerzett információk és adatok biztonságának és titkosságának védelme érdekében, valamint az alkalmazandó uniós vagy nemzeti joggal összhangban törölniük kell az összegyűjtött adatokat, amint azokra már nincs szükség a megszerzésüket indokoló célból.
(3) Az (1) és a (2) bekezdés sérelme nélkül az illetékes nemzeti hatóságok között, illetve az illetékes nemzeti hatóságok és a Bizottság között bizalmas alapon megosztott információk nem hozhatók nyilvánosságra a kibocsátó illetékes nemzeti hatósággal és az alkalmazóval való előzetes egyeztetés nélkül, amennyiben a III. melléklet 1., 6. vagy 7. pontjában említett nagy kockázatú MI-rendszereket a bűnüldöző, határellenőrzési, bevándorlási vagy menekültügyi hatóságok használják, ha az ilyen nyilvánosságra hozatal közbiztonsági és nemzetbiztonsági érdekeket veszélyeztetne. Ez az információcsere nem terjedhet ki a bűnüldöző, a határellenőrzési, a bevándorlási vagy a menekültügyi hatóságok tevékenységeivel kapcsolatos érzékeny operatív adatokra.
Amennyiben a bűnüldöző, a bevándorlási vagy a menekültügyi hatóságok a III. melléklet 1., 6. vagy 7. pontjában említett nagy kockázatú MI-rendszerek szolgáltatói, a IV. mellékletben említett műszaki dokumentációnak e hatóságok telephelyén kell maradnia. E hatóságoknak biztosítaniuk kell, hogy a 74. cikk (8) és - adott esetben - (9) bekezdésében említett piacfelügyeleti hatóságok kérésre azonnal hozzá tudjanak férni a dokumentációhoz, vagy megkaphassák annak egy példányát. Csak a piacfelügyeleti hatóság megfelelő szintű biztonsági tanúsítvánnyal rendelkező munkatársai férhetnek hozzá az említett dokumentációhoz vagy annak bármely példányához.
(4) Az (1), a (2) és a (3) bekezdés nem érintheti a Bizottságnak, a tagállamoknak, a releváns hatóságaiknak és a bejelentett szervezeteknek az információcsere és a figyelmeztetések terjesztése tekintetében, többek között a határon átnyúló együttműködés kontextusában fennálló jogait és kötelezettségeit, és nem érintheti az érintett feleknek a tagállamok büntetőjoga alapján fennálló tájékoztatásnyújtási kötelezettségeit.
(5) A Bizottság és a tagállamok - amennyiben szükséges, valamint a nemzetközi és a kereskedelmi megállapodások releváns rendelkezéseivel összhangban megoszthatnak bizalmas információkat azon harmadik országok szabályozó hatóságaival, amelyekkel a bizalmas kezelésre vonatkozó, megfelelő szintű titoktartást biztosító, kétoldalú vagy többoldalú megállapodásokat kötöttek.
79. cikk
A kockázatot jelentő MI-rendszerek kezelésére vonatkozó nemzeti szintű eljárások
(1) Kockázatot jelentő MI-rendszerek alatt az (EU) 2019/1020 rendelet 3. cikkének 19. pontjában meghatározott, "kockázatot jelentő termék" értendő, amennyiben e rendszerek kockázatot jelentenek személyek egészségére és biztonságára, illetve alapvető jogaira nézve.
(2) Amennyiben egy tagállam piacfelügyeleti hatóságának elegendő oka van úgy megítélni, hogy egy MI-rendszer az e cikk (1) bekezdésben említettek alapján kockázatot jelent, el kell végeznie az érintett MI-rendszer értékelését a tekintetben, hogy az megfelel-e az e rendeletben meghatározott valamennyi követelménynek és kötelezettségnek. Különös figyelmet kell fordítani azon MI-rendszerekre, amelyek kockázatot jelentenek a kiszolgáltatott csoportokra. Amennyiben az alapvető jogokat veszélyeztető kockázatokat azonosítanak, a piacfelügyeleti hatóságnak tájékoztatnia kell a 77. cikk (1) bekezdésében említett érintett nemzeti hatóságokat vagy szerveket is, és azokkal teljes mértékben együtt kell működnie. A releváns gazdasági szereplőknek szükség szerint együtt kell működniük a piacfelügyeleti hatósággal és a 77. cikk (1) bekezdésében említett egyéb nemzeti hatóságokkal vagy szervekkel.
Amennyiben az említett értékelés során a nemzeti felügyeleti hatóság vagy adott esetben a nemzeti felügyeleti hatóság a 77. cikk (1) bekezdésében említett nemzeti hatósággal együttműködésben megállapítja, hogy az MI-rendszer nem felel meg az e rendeletben megállapított követelményeknek és kötelezettségeknek, haladéktalanul elő kell írnia a releváns gazdasági szereplő számára, hogy - az adott esetben a piacfelügyeleti hatóság által előírt időszakon, de legkésőbb tizenöt munkanapon belül, vagy adott esetben a releváns uniós harmonizációs jogszabályokban előírtak szerint, attól függően, hogy melyik következik be hamarabb - tegyen meg minden ahhoz szükséges megfelelő korrekciós intézkedést, hogy az MI-rendszer megfeleljen az említett követelményeknek, vonja ki az MI-rendszert a forgalomból vagy hívja vissza azt.
A piacfelügyeleti hatóságnak ennek megfelelően tájékoztatnia kell az érintett bejelentett szervezetet. Az e bekezdés második albekezdésében említett intézkedésekre az (EU) 2019/1020 rendelet 18. cikke alkalmazandó.
(3) Amennyiben a piacfelügyeleti hatóság úgy ítéli meg, hogy a meg nem felelés nem korlátozódik az adott ország területére, indokolatlan késedelem nélkül tájékoztatnia kell a Bizottságot és a többi tagállamot az értékelés eredményeiről és azokról az intézkedésekről, amelyek meghozatalára a gazdasági szereplőt felszólította.
(4) A gazdasági szereplőnek biztosítania kell, hogy az uniós piacon általa forgalmazott valamennyi érintett MI-rendszer tekintetében minden megfelelő korrekciós intézkedést meghozzon.
(5) Amennyiben az MI-rendszer üzemeltetője nem teszi meg a megfelelő korrekciós intézkedéseket a (2) bekezdésben említett időszakon belül, a piacfelügyeleti hatóságnak meg kell hoznia minden megfelelő átmeneti intézkedést az MI-rendszer nemzeti piacon történő forgalmazásának vagy üzembe helyezésének megtiltása vagy korlátozása, illetve a termék vagy a különálló MI-rendszer forgalomból való kivonása vagy visszahívása érdekében. Ezekről az intézkedésekről a hatóságnak indokolatlan késedelem nélkül értesítenie kell a Bizottságot és a többi tagállamot.
(6) Az (5) bekezdésben említett értesítésnek tartalmaznia kell minden rendelkezésre álló információt, különösen az előírásoknak nem megfelelő MI-rendszer azonosításához szükséges információkat, az MI-rendszer származási helyét, és az ellátási láncot, a feltételezett meg nem felelésnek és a fennálló kockázatnak a jellegét, a meghozott nemzeti intézkedések jellegét és időtartamát, valamint a releváns gazdasági szereplő által felhozott érveket. Így különösen, a piacfelügyeleti hatóságoknak jelezniük kell, hogy a meg nem felelés a következő okok közül egy vagy több miatt következett-e be:
a) az 5. cikkben említett MI-gyakorlatok tilalmának be nem tartása;
b) valamely nagy kockázatú MI-rendszer nem felel meg a III. fejezet 2. szakaszában foglalt követelményeknek;
c) a megfelelés vélelmét megalapozó, a 40. és a 41. cikkben említett harmonizált szabványok vagy közös előírások hiányosságai;
d) az 50. cikknek való meg nem felelés.
(7) A piacfelügyeleti hatóságoknak - az eljárást kezdeményező tagállam piacfelügyeleti hatóságának kivételével - indokolatlan késedelem nélkül tájékoztatniuk kell a Bizottságot és a többi tagállamot az elfogadott intézkedésekről és azokról a birtokukban lévő további információkról, amelyek az érintett MI-rendszer meg nem feleléséről tanúskodnak, valamint - amennyiben nem értenek egyet a bejelentett tagállami intézkedéssel - a kifogásaikról.
(8) Amennyiben az e cikk (5) bekezdésében említett értesítés kézhezvételétől számított három hónapon belül sem valamely tagállam piacfelügyeleti hatósága, sem a Bizottság nem emel kifogást egy másik tagállam piacfelügyeleti hatósága által hozott ideiglenes intézkedéssel szemben, az intézkedést indokoltnak kell tekinteni. Ez nem érinti az érintett gazdasági szereplőnek az (EU) 2019/1020 rendelet 18. cikke szerinti eljárási jogait. Az e bekezdésben említett három hónapos határidőt 30 napra kell csökkenteni az e rendelet 5. cikkében említett MI-gyakorlatok tilalmának be nem tartása esetén.
(9) A piacfelügyeleti hatóságoknak biztosítaniuk kell, hogy az érintett termékkel vagy MI-rendszerrel kapcsolatban indokolatlan késedelem nélkül megfelelő korlátozó intézkedések meghozatalára kerüljön sor, ideértve a termék vagy az MI-rendszer forgalomból való kivonását is az adott tagállam piacáról.
80. cikk
A szolgáltató által a III. melléklet alkalmazásában nem nagy kockázatúnak minősített MI-rendszerek kezelésére vonatkozó eljárás
(1) Amennyiben a piacfelügyeleti hatóságnak elegendő oka van úgy megítélni, hogy a szolgáltató által a 6. cikk (3) bekezdését alapul véve nem nagy kockázatúnak minősített MI-rendszer valójában nagy kockázatú, a piacfelügyeleti hatóságnak el kell végeznie az érintett MI-rendszer értékelését a tekintetben, hogy a 6. cikk (3) bekezdésében és a bizottsági iránymutatásokban meghatározott feltételek alapján nagy kockázatúnak minősül-e.
(2) Amennyiben az értékelés során a piacfelügyeleti hatóság megállapítja, hogy az érintett MI-rendszer nagy kockázatot rejt, indokolatlan késedelem nélkül fel kell szólítania az érintett szolgáltatót, hogy tegye meg az ahhoz szükséges valamennyi intézkedést, hogy az MI-rendszer megfeleljen az e rendeletben meghatározott követelményeknek és kötelezettségeknek, valamint hogy - adott esetben a piacfelügyeleti hatóság által előírt időszakon belül - tegyen megfelelő korrekciós intézkedéseket.
(3) Amennyiben a piacfelügyeleti hatóság úgy ítéli meg, hogy az MI-rendszer használata nem korlátozódik az adott ország területére, indokolatlan késedelem nélkül tájékoztatnia kell a Bizottságot és a többi tagállamot az értékelés eredményeiről és azokról az intézkedésekről, amelyek megtételére a szolgáltatót felszólította.
(4) A szolgáltatónak biztosítania kell, hogy minden szükséges intézkedést meghozzanak az MI-rendszer e rendeletben meghatározott követelményeknek és kötelezettségeknek való megfelelése érdekében. Amennyiben az érintett MI-rendszer szolgáltatója az e cikk (2) bekezdésében említett időszakon belül nem biztosítja az MI-rendszernek az említett követelményeknek és kötelezettségeknek való megfelelését, a szolgáltatóra a 99. cikknek megfelelő pénzbírságot kell kiszabni.
(5) A szolgáltató biztosítja, hogy az uniós piacon általa forgalmazott valamennyi érintett MI-rendszer tekintetében minden megfelelő korrekciós intézkedést meghozzanak.
(6) Amennyiben az érintett MI-rendszer szolgáltatója nem teszi meg a megfelelő korrekciós intézkedéseket az e cikk (2) bekezdésében említett időszakon belül, a 79. cikk (5)-(9) bekezdése alkalmazandó.
(7) Amennyiben az e cikk (1) bekezdése szerinti értékelés során a piacfelügyeleti hatóság megállapítja, hogy a szolgáltató annak érdekében minősítette tévesen nem nagy kockázatúnak az MI-rendszert, hogy megkerülje a III. fejezet 2. szakaszában foglalt követelmények alkalmazását, a szolgáltatóra a 99. cikknek megfelelő pénzbírságot kell kiszabni.
(8) A piacfelügyeleti hatóságok az e cikk alkalmazásának nyomon követésére vonatkozó hatáskörük gyakorlása során, az (EU) 2019/1020 rendelet 11. cikkével összhangban megfelelő ellenőrzéseket végezhetnek, figyelembe véve különösen az e rendelet 71. cikkében említett uniós adatbázisban tárolt információkat.
81. cikk
Uniós védintézkedési eljárás
(1) Amennyiben valamely tagállam piacfelügyeleti hatósága a 79. cikk (5) bekezdésében említett értesítés kézhezvételét követő három hónapon - illetve az 5. cikkben említett MI-gyakorlatok tilalmának be nem tartása esetén 30 napon - belül kifogást emel valamely más piacfelügyeleti hatóság által elfogadott intézkedéssel szemben, illetve ha a Bizottság úgy ítéli meg, hogy az intézkedés ellentétes az uniós joggal, a Bizottság indokolatlan késedelem nélkül egyeztetést kezdeményez a releváns tagállam piacfelügyeleti hatóságával és a gazdasági szereplővel vagy gazdasági szereplőkkel, és értékeli a nemzeti intézkedést. Az említett értékelés eredményei alapján a Bizottság a 79. cikk (5) bekezdésében említett értesítéstől számított hat hónapon belül - vagy az 5. cikkben említett MI-gyakorlatok tilalmának be nem tartása esetén 60 napon belül - határoz arról, hogy a nemzeti intézkedés indokolt-e, és határozatáról értesíti az érintett tagállam piacfelügyeleti hatóságát. A Bizottság a határozatáról valamennyi más piacfelügyeleti hatóságot is tájékoztat.
(2) Amennyiben az érintett tagállam által tett intézkedést a Bizottság indokoltnak ítéli, minden tagállam biztosítja, hogy megfelelő korlátozó intézkedéseket hozzon az érintett MI-rendszer tekintetében - így például előírja, hogy az MI-rendszert indokolatlan késedelem nélkül vonják ki a forgalomból -, és erről tájékoztatja a Bizottságot. Amennyiben a nemzeti intézkedést a Bizottság indokolatlannak ítéli, az érintett tagállam visszavonja az intézkedést, és erről tájékoztatja a Bizottságot.
(3) Amennyiben a nemzeti intézkedést indokoltnak ítélik, és az MI-rendszer meg nem felelése az e rendelet 40. és 41. cikkében említett harmonizált szabványok vagy közös előírások hiányosságainak a következménye, a Bizottság az 1025/2012/EU rendelet 11. cikkében előírt eljárást alkalmazza.
82. cikk
Kockázatot jelentő megfelelő MI-rendszerek
(1) Amennyiben egy tagállam piacfelügyeleti hatósága a 79. cikk szerinti értékelés elvégzését, és a 77. cikk (1) bekezdésében említett érintett nemzeti hatósággal való konzultációt követően megállapítja, hogy bár a nagy kockázatú MI-rendszer megfelel e rendeletnek, mindazonáltal kockázatot jelent személyek egészségére vagy biztonságára, az alapvető jogokra, vagy a közérdek védelmének egyéb szempontjaira nézve, akkor - a kockázat jellegétől függően - fel kell szólítania az érintett gazdasági szereplőt, hogy - indokolatlan késedelem nélkül, adott esetben a piacfelügyeleti hatóság által előírt időszakon belül - tegyen meg minden megfelelő intézkedést annak biztosítására, hogy az érintett MI-rendszer a forgalomba hozatalkor vagy az üzembe helyezéskor már ne jelentsen kockázatot.
(2) A szolgáltatónak vagy valamely egyéb releváns gazdasági szereplőnek biztosítania kell, hogy az uniós piacon általa forgalmazott valamennyi MI-rendszer tekintetében korrekciós intézkedéseket hozzon az (1) bekezdésben említett tagállam piacfelügyeleti hatósága által előírt határidőn belül.
(3) A tagállamok haladéktalanul tájékoztatják a Bizottságot és a többi tagállamot az (1) bekezdés szerinti megállapításokról. A tájékoztatásnak tartalmaznia kell valamennyi rendelkezésre álló adatot, különösen az érintett MI-rendszer azonosításához szükséges adatokat, az MI-rendszer származását és ellátási láncát, a felmerülő kockázat jellegét, valamint a meghozott nemzeti intézkedések jellegét és időtartamát.
(4) A Bizottság indokolatlan késedelem nélkül konzultációt kezd az érintett tagálamokkal és a releváns gazdasági szereplőkkel, valamint értékeli a meghozott nemzeti intézkedéseket. Az értékelés eredményei alapján a Bizottság határozatot hoz arról, hogy az intézkedés indokolt-e, és szükség esetén javaslatot tesz más megfelelő intézkedésekre.
(5) A Bizottság haladéktalanul közli határozatát az érintett tagállamokkal és a releváns gazdasági szereplőkkel. Tájékoztatja a többi tagállamot is.
83. cikk
Alaki meg nem felelés
(1) Amennyiben egy tagállam piacfelügyeleti hatósága megteszi a következő megállapítások egyikét, meg kell követelnie a releváns szolgáltatótól, hogy - az esetlegesen előírt időszakon belül - szüntesse meg az érintett meg nem felelést:
a) a CE-jelölést a 48. cikket megsértő módon helyezték el;
b) nem helyeztek el CE-jelölést;
c) nem készült a 47. cikkben említett EU-megfelelőségi nyilatkozat;
d) a 47. cikkben említett EU-megfelelőségi nyilatkozatot nem megfelelően készítették el;
e) nem végezték el a 71. cikkben említett uniós adatbázisba történő regisztrációt;
f) nem neveztek ki adott esetben meghatalmazott képviselőt;
g) nem áll rendelkezésre műszaki dokumentáció.
(2) Amennyiben az (1) bekezdésben említett meg nem felelés továbbra is fennáll, az érintett tagállam piacfelügyeleti hatóságának megfelelő és arányos intézkedéseket kell hoznia a nagy kockázatú MI-rendszer forgalmazásának korlátozása vagy betiltása céljából, vagy gondoskodnia kell annak haladéktalan visszahívásáról vagy piaci forgalomból történő kivonásáról.
84. cikk
Uniós MI-tesztelési támogató struktúrák
(1) A Bizottság kijelöl egy vagy több uniós MI-tesztelési támogató struktúrát az (EU) 2019/1020 rendelet 21. cikkének (6) bekezdésében felsorolt feladatoknak az MI területén való elvégzésére.
(2) Az (1) bekezdésben említett feladatok sérelme nélkül, az uniós MI-tesztelési támogató struktúrák - a Testület, a Bizottság vagy a piacfelügyeleti hatóságok kérésére - független műszaki vagy tudományos tanácsadást is nyújtanak.
4. SZAKASZ
Jogorvoslatok
85. cikk
A piacfelügyeleti hatóságnál történő panasztételhez való jog
Az egyéb közigazgatási vagy bírósági jogorvoslatok sérelme nélkül, bármely olyan természetes vagy jogi személy, aki vagy amely okkal feltételezi, hogy e rendelet rendelkezéseit megsértették, panaszokat nyújthat be a releváns piacfelügyeleti hatósághoz.
Az ilyen panaszokat - az (EU) 2019/1020 rendelettel összhangban - figyelembe kell venni a piacfelügyeleti tevékenységek végzése céljából, és azokat a piacfelügyeleti hatóságok által erre meghatározott, célzott eljárásokkal összhangban kell kezelni.
86. cikk
Az egyéni döntéshozatal magyarázatához való jog
(1) Minden olyan érintett személy számára, aki egy olyan döntés hatálya alá tartozik, amelyet az alkalmazó a III. mellékletben - az annak 2. pontjában felsorolt rendszerek kivételével - felsorolt valamely nagy kockázatú MI-rendszer kimenete alapján hozott, és amely joghatásokat vált ki, vagy az említett személyt hasonlóan jelentősen érinti oly módon, hogy annak megítélése szerint a döntés kedvezőtlen hatást gyakorol az egészségére, biztonságára vagy alapvető jogaira, biztosítani kell az ahhoz való jogot, hogy az alkalmazótól egyértelmű és érdemi magyarázatot kapjon az MI-rendszernek a döntéshozatali eljárásban betöltött szerepéről és a hozott döntés fő elemeiről.
(2) Az (1) bekezdés nem alkalmazandó az olyan MI-rendszerek használatára, amelyek esetében az említett bekezdés szerinti kötelezettség alóli kivételek vagy az arra vonatkozó korlátozások az uniós jogból vagy az uniós jognak megfelelő nemzeti jogból következnek.
(3) Ez a cikk csak annyiban alkalmazandó, amennyiben az (1) bekezdésben említett jogról az uniós jog másként nem rendelkezik.
87. cikk
A jogsértések bejelentése és a bejelentő személyek védelme
Az e rendelet megsértéseinek bejelentésére és az ilyen jogsértéseket bejelentő személyek védelmére az (EU) 2019/1937 irányelv alkalmazandó.
5. SZAKASZ
Felügyelet, vizsgálat, végrehajtás és nyomon követés az általános célú MI-modellek szolgáltatói tekintetében
88. cikk
Az általános célú MI-modellek szolgáltatói kötelezettségeinek végrehajtása
(1) A Bizottság - figyelembe véve a 94. cikk szerinti eljárási garanciákat - kizárólagos hatáskörrel rendelkezik az V. fejezetben foglaltak felügyeletére és végrehajtására. A Bizottság e feladatok végrehajtásával az MI-hivatalt bízza meg, ami nem érinti a Bizottság szervezési hatásköreit, valamint a hatásköröknek az Unió és a tagállamok közötti, a Szerződéseken alapuló megosztását.
(2) Anélkül, hogy ez sértené a 75. cikk (3) bekezdését, a piacfelügyeleti hatóságok, amennyiben ez szükséges az e rendelet szerinti feladataik ellátásához, és arányos azzal, felkérhetik a Bizottságot az e szakaszban megállapított hatáskörök gyakorlására.
89. cikk
Nyomonkövetési intézkedések
(1) Az MI-hivatal - az e szakasz alapján ráruházott feladatok ellátása céljából - meghozhatja azon intézkedéseket, amelyek a hatékony végrehajtásnak, valamint annak nyomon követéséhez szükségesek, hogy az általános célú MI-modellek szolgáltatói megfelelnek-e ezen rendeletnek, ideértve a jóváhagyott gyakorlati kódexek betartását is.
(2) A downstream szolgáltatók számára jogot kell biztosítani ahhoz, hogy panaszt nyújtsanak be e rendelet feltételezett megsértése miatt. A panaszt megfelelően meg kell indokolni, és abban legalább a következőket fel kell tüntetni:
a) az érintett általános célú MI-modell szolgáltatójának kapcsolattartó pontja;
b) a releváns tények, e rendelet érintett rendelkezései, valamint annak megindokolása, hogy a downstream szolgáltató miért véli úgy, hogy az érintett általános célú MI-modell szolgáltatója megsértette e rendeletet;
c) bármely egyéb olyan információ, amelyet a kérelmet benyújtó downstream szolgáltató relevánsnak tekint, beleértve adott esetben a saját kezdeményezésére gyűjtött információkat is.
90. cikk
A tudományos testület rendszerszintű kockázatokra vonatkozó riasztásai
(1) A tudományos testület minősített riasztást küldhet az MI-hivatal számára, ha oka van úgy megítélni, hogy:
a) egy általános célú MI-modell konkrét és azonosítható kockázatot hordoz uniós szinten; vagy
b) az általános célú MI-modell megfelel az 51. cikkben említett feltételeknek.
(2) Az említett minősített riasztás alapján a Bizottság az MI-hivatalon keresztül és a Testület tájékoztatását követően gyakorolhatja az e szakaszban az ügy értékelése céljából meghatározott hatásköröket. Az MI-hivatalnak tájékoztatnia kell a Testületet a 91-94. cikk szerinti intézkedésekről.
(3) A minősített riasztást megfelelően meg kell indokolni, és abban legalább a következőket fel kell tüntetni:
a) az érintett, rendszerszintű kockázatot jelentő általános célú MI-modell szolgáltatójának kapcsolattartó pontja;
b) a releváns tények leírása és a tudományos testület általi riasztás indokolása;
c) bármely egyéb olyan információ, amelyet a tudományos testület relevánsnak tekint, ideértve adott esetben a saját kezdeményezésére gyűjtött információkat is.
91. cikk
A dokumentáció és információk bekérésére vonatkozó hatáskör
(1) A Bizottság felkérheti az érintett általános célú MI-modell szolgáltatóját, hogy nyújtsa be a szolgáltató által az 53. és 55. cikknek megfelelően elkészített dokumentációt, illetve bármely olyan további információt, amely szükséges annak értékeléséhez, hogy a szolgáltató megfelel-e ezen rendeletnek.
(2) Az információkérés elküldése előtt az MI-hivatal strukturált párbeszédet kezdeményezhet az általános célú MI-modell szolgáltatójával.
(3) A tudományos testület kellően indokolt kérésére a Bizottság információkérést intézhet az általános célú MI-modell szolgáltatójához, amennyiben az információkhoz való hozzáférés szükséges a tudományos testület 68. cikk (2) bekezdése szerinti feladatainak ellátásához, és arányos azzal.
(4) Az információkérésben fel kell tüntetni a kérés jogalapját és célját, meg kell jelölni, hogy mely információkra van szükség, meg kell határozni az információk rendelkezésre bocsátására vonatkozó határidőt, továbbá meg kell jelölni a 101. cikkben foglalt, a helytelen, hiányos vagy félrevezető információk szolgáltatása esetén kiszabandó bírságokat.
(5) Az érintett általános célú MI-modell szolgáltatójának vagy annak képviselőjének rendelkezésre kell bocsátania a kért információkat. Jogi személyek, társaságok vagy cégek esetében, illetve ha a szolgáltató nem rendelkezik jogi személyiséggel, a kért információkat az említettek képviseletére a jogszabály vagy az alapszabályuk által felhatalmazott személyek bocsátják rendelkezésre az érintett általános célú MI-modell szolgáltatója nevében. A megfelelő meghatalmazással rendelkező ügyvédek jogosultak arra, hogy ügyfeleik nevében információkat szolgáltassanak. Mindazonáltal továbbra is teljes mértékben az ügyfelek felelnek azért, ha a szolgáltatott információk hiányosak, helytelenek vagy félrevezetők.
92. cikk
Értékelések végzésére vonatkozó hatáskör
(1) Az MI-hivatal a Testülettel folytatott konzultációt követően az érintett általános célú MI-modellre vonatkozó értékeléseket végezhet annak érdekében, hogy:
a) értékelje, hogy a szolgáltató megfelel-e az e rendelet szerinti kötelezettségeknek, amennyiben a 91. cikk alapján gyűjtött információk nem elégségesek; vagy
b) különösen a tudományos testület által a 90. cikk (1) bekezdésének a) pontjával összhangban adott minősített riasztást követően megvizsgálja a rendszerszintű kockázatot jelentő általános célú MI-modellek rendszerszintű kockázatait uniós szinten.
(2) A Bizottság dönthet úgy, hogy - többek között a 68. cikk alapján létrehozott tudományos testület soraiból - független szakértőket jelöl ki az értékeléseknek a Bizottság nevében történő elvégzésére. Az e feladatra kijelölt független szakértőknek meg kell felelniük a 68. cikk (2) bekezdésében meghatározott kritériumoknak.
(3) Az (1) bekezdés alkalmazásában a Bizottság API-kon vagy további megfelelő műszaki megoldásokon és eszközökön - többek között forráskódon - keresztül hozzáférést kérhet az érintett általános célú MI-modellhez.
(4) A hozzáférés iránti kérelemben fel kell tüntetni a kérelem jogalapját, célját és indokait, valamint meg kell határozni azon időszakot, amelyen belül a hozzáférés biztosítandó, és a 101. cikkben a hozzáférés biztosításának elmulasztása esetére előírt bírságokat.
(5) Az érintett általános célú MI-modell szolgáltatóinak vagy képviselőinek meg kell adniuk a kért információkat. Jogi személyek, társaságok vagy cégek esetében, vagy ha a szolgáltató nem rendelkezik jogi személyiséggel, az érintett általános célú MI-modell szolgáltatója nevében az említettek képviseletére jogszabály vagy a létesítő okiratuk által felhatalmazott személyek biztosítják a kért hozzáférést.
(6) A Bizottság végrehajtási jogi aktusokat fogad el, amelyekben meghatározza az értékelések részletes szabályait és feltételeit, ideértve a független szakértők bevonására vonatkozó részletes szabályokat és a kiválasztásukra irányuló eljárást. Ezeket a végrehajtási jogi aktusokat a 98. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.
(7) Az érintett általános célú MI-modellhez való hozzáférés kérelmezése előtt az MI-hivatal strukturált párbeszédet kezdeményezhet az általános célú MI-modell szolgáltatójával annak érdekében, hogy több információt gyűjtsön a modell belső teszteléséről, a rendszerszintű kockázatok megelőzésére szolgáló belső biztosítékokról, valamint a szolgáltató által az ilyen kockázatok enyhítése érdekében hozott egyéb belső eljárásokról és intézkedésekről.
93. cikk
Intézkedések előírására vonatkozó hatáskör
(1) Amennyiben szükséges és helyénvaló, a Bizottság előírhatja a szolgáltatók számára, hogy:
a) hozzanak megfelelő intézkedéseket az 53. és az 54. cikkben meghatározott kötelezettségeknek való megfelelés érdekében;
b) kockázatenyhítő intézkedéseket hajtanak végre, amennyiben a 92. cikkel összhangban elvégzett értékelés komoly és megalapozott aggályokat vetett fel valamely uniós szinten fennálló rendszerszintű kockázattal kapcsolatban;
c) korlátozzák a modell forgalmazását, vonják ki a modellt a forgalomból vagy hívják vissza azt.
(2) Azt megelőzően, hogy sor kerül valamely intézkedés előírására, az MI-hivatal strukturált párbeszédet kezdeményezhet az általános célú MI-modell szolgáltatójával.
(3) Ha a (2) bekezdésben említett strukturált párbeszéd során a rendszerszintű kockázatot jelentő általános célú MI-modell szolgáltatója kötelezettséget vállal arra, hogy kockázatcsökkentő intézkedéseket hajt végre egy uniós szinten fennálló rendszerszintű kockázat kezelése érdekében, a Bizottság - határozat útján - kötelező erejűvé nyilváníthatja ezeket a kötelezettségvállalásokat, és megállapíthatja, hogy további intézkedések nem indokoltak.
94. cikk
Az általános célú MI-modell gazdasági szereplőinek eljárási jogai
Az (EU) 2019/1020 rendelet 18. cikke - az e rendelet által előírt konkrétabb eljárási jogok sérelme nélkül - értelemszerűen alkalmazandó az általános célú MI-modell szolgáltatóira.
X. FEJEZET
MAGATARTÁSI KÓDEXEK ÉS IRÁNYMUTATÁSOK
95. cikk
A konkrét követelmények önkéntes alkalmazására vonatkozó magatartási kódexek
(1) Az MI-hivatal és a tagállamok ösztönzik és elősegítik olyan - a vonatkozó irányítási mechanizmusokat is magukban foglaló - magatartási kódexek kidolgozását, amelyek célja előmozdítani az e rendelet III. fejezetének 2. szakaszában meghatározott követelmények közül néhánynak vagy valamennyinek a nagy kockázatú MI-rendszerektől eltérő MI-rendszerekre történő önkéntes alkalmazását, figyelembe véve az ilyen követelmények alkalmazását lehetővé tevő, rendelkezésre álló műszaki megoldásokat és iparági legjobb gyakorlatokat.
(2) Az MI-hivatal és a tagállamok elősegítik olyan magatartási kódexek kidolgozását, amelyek a konkrét követelmények valamennyi MI-rendszerre való - többek között az alkalmazók általi - önkéntes alkalmazására vonatkoznak, egyértelmű célkitűzések és e célkitűzések elérésének mérésére szolgáló fő teljesítménymutatók alapján, beleértve például, de nem kizárólagosan a következő elemeket:
a) a megbízható mesterséges intelligenciára alkalmazandó uniós etikai iránymutatásokban előírt, alkalmazandó elemek;
b) az MI-rendszerek környezeti fenntarthatóságra gyakorolt hatásának értékelése és minimalizálása, többek között az energiahatékony programozás és a mesterséges intelligencia hatékony tervezését, betanítását és használatát szolgáló technikák tekintetében;
c) az MI-jártasság előmozdítása, különösen a mesterséges intelligencia fejlesztésével, üzemeltetésével és használatával foglalkozó személyek körében;
d) az MI-rendszerek kialakítása során az inkluzivitás és a sokszínűség elősegítése, többek között inkluzív és sokszínű fejlesztői csapatok létrehozása és az érdekelt felek e folyamatban való részvételének előmozdítása révén;
e) azon negatív hatások értékelése és megelőzése, amelyeket az MI-rendszerek a kiszolgáltatott személyekre vagy a kiszolgáltatott személyek csoportjaira - ideértve a fogyatékossággal élő személyeknek biztosítandó akadálymentességet is -, valamint a nemek közötti egyenlőségre gyakorolnak.
(3) Az MI-rendszerek egyes szolgáltatói vagy alkalmazói, vagy az azokat képviselő szervezetek vagy mindkettő magatartási kódexeket készíthetnek, többek között bármely érdekelt fél és képviseleti szervezetei - ideértve a civil szféra szervezeteit és a tudományos köröket is - bevonásával. A magatartási kódexek vonatkozhatnak egy vagy több MI-rendszerre, figyelembe véve az adott rendszerek rendeltetésének hasonlóságát.
(4) A magatartási kódexek kidolgozásának ösztönzése és elősegítése során az MI-hivatal és a tagállamok figyelembe veszik a kkv-k - köztük az induló innovatív vállalkozások - sajátos érdekeit és igényeit.
96. cikk
A Bizottság iránymutatásai e rendelet végrehajtásáról
(1) A Bizottság iránymutatásokat dolgoz ki e rendelet gyakorlati végrehajtására vonatkozóan, különös tekintettel a következőkre:
a) a 8-15. cikkben és a 25. cikkben említett követelmények és kötelezettségek alkalmazása;
b) az 5. cikkben említett tiltott gyakorlatok;
c) a jelentős módosításra vonatkozó rendelkezések gyakorlati végrehajtása;
d) az 50. cikkben meghatározott átláthatósági kötelezettségek gyakorlati végrehajtása;
e) részletes információk az e rendelet és az I. mellékletben felsorolt uniós harmonizációs jogszabályok, valamint más releváns uniós jog közötti kapcsolatról, többek között a végrehajtásuk következetessége tekintetében;
f) az MI-rendszer 3. cikk 1. pontjában foglalt fogalommeghatározásának alkalmazása.
Az iránymutatások kiadásakor a Bizottság különös figyelmet fordít a kkv-k, köztük az induló innovatív vállalkozások, valamint a helyi közigazgatási szervek és az e rendelet által legvalószínűbben érintett ágazatok igényeire.
Az e bekezdés első albekezdésében említett iránymutatásokban kellően figyelembe kell venni az MI-vel kapcsolatos technika általánosan elfogadott, mindenkori állását, valamint a 40. és a 41. cikkben említett vonatkozó harmonizált szabványokat és közös előírásokat, vagy az uniós harmonizációs jog alapján meghatározott harmonizált szabványokat vagy műszaki előírásokat.
(2) A tagállamok vagy az MI-hivatal kérésére vagy saját kezdeményezésére a Bizottság szükség esetén aktualizálja a korábban elfogadott iránymutatásokat.
XI. FEJEZET
FELHATALMAZÁS ÉS BIZOTTSÁGI ELJÁRÁS
97. cikk
A felhatalmazás gyakorlása
(1) A felhatalmazáson alapuló jogi aktusok elfogadására vonatkozóan a Bizottság részére adott felhatalmazás feltételeit ez a cikk határozza meg.
(2) A Bizottságnak a 6. cikk (6) és (7) bekezdésében, a 7. cikk (1) és (3) bekezdésében, a 11. cikk (3) bekezdésében, a 43. cikk (5) és (6) bekezdésében, a 47. cikk (5) bekezdésében, az 51. cikk (3) bekezdésében, az 52. cikk (4) bekezdésében, valamint az 53. cikk (5) és (6) bekezdésében említett, felhatalmazáson alapuló jogi aktusok elfogadására vonatkozó felhatalmazása ötéves időtartamra szól 2024. augusztus 1-től kezdődő hatállyal. A Bizottság legkésőbb kilenc hónappal az ötéves időtartam letelte előtt jelentést készít a felhatalmazásról. A felhatalmazás hallgatólagosan meghosszabbodik a korábbival megegyező időtartamra, amennyiben az Európai Parlament vagy a Tanács nem ellenzi a meghosszabbítást legkésőbb három hónappal minden egyes időtartam letelte előtt.
(3) Az Európai Parlament vagy a Tanács bármikor visszavonhatja a 6. cikk (6) és (7) bekezdésében, a 7. cikk (1) és (3) bekezdésében, a 11. cikk (3) bekezdésében, a 43. cikk (5) és (6) bekezdésében, a 47. cikk (5) bekezdésében, az 51. cikk (3) bekezdésében, az 52. cikk (4) bekezdésében, valamint az 53. cikk (5) és (6) bekezdésében említett felhatalmazást. A visszavonásról szóló határozat megszünteti az abban meghatározott felhatalmazást. A határozat az Európai Unió Hivatalos Lapjában való kihirdetését követő napon vagy a benne megjelölt későbbi időpontban lép hatályba. A határozat nem érinti a már hatályban lévő, felhatalmazáson alapuló jogi aktusok érvényességét.
(4) A felhatalmazáson alapuló jogi aktus elfogadása előtt a Bizottság a jogalkotás minőségének javításáról szóló, 2016. április 13-i intézményközi megállapodásban megállapított elvekkel összhangban konzultál az egyes tagállamok által kijelölt szakértőkkel.
(5) A Bizottság a felhatalmazáson alapuló jogi aktus elfogadását követően haladéktalanul és egyidejűleg értesíti arról az Európai Parlamentet és a Tanácsot.
(6) A 6. cikk (6) vagy (7) bekezdése, a 7. cikk (1) vagy (3) bekezdése, a 11. cikk (3) bekezdése, a 43. cikk (5) vagy (6) bekezdése, a 47. cikk (5) bekezdése, az 51. cikk (3) bekezdése, az 52. cikk (4) bekezdése vagy az 53. cikk (5) vagy (6) bekezdése értelmében elfogadott, felhatalmazáson alapuló jogi aktus csak akkor lép hatályba, ha az Európai Parlamentnek és a Tanácsnak a jogi aktusokról való értesítését követő három hónapon belül sem az Európai Parlament, sem a Tanács nem emelt ellene kifogást, illetve ha az említett időtartam lejártát megelőzően mind az Európai Parlament, mind a Tanács arról tájékoztatta a Bizottságot, hogy nem fog kifogást emelni. Az Európai Parlament vagy a Tanács kezdeményezésére ez az időtartam három hónappal meghosszabbodik.
98. cikk
A bizottsági eljárás
(1) A Bizottságot egy bizottság segíti. Ez a bizottság a 182/2011/EU rendelet értelmében vett bizottságnak minősül.
(2) Az e bekezdésre történő hivatkozáskor a 182/2011/EU rendelet 5. cikkét kell alkalmazni.
XII. FEJEZET
SZANKCIÓK
99. cikk
Szankciók
(1) Az e rendeletben meghatározott feltételekkel összhangban a tagállamok megállapítják az e rendelet gazdasági szereplők általi megsértése esetén alkalmazandó - adott esetben figyelmeztetéseket és nem pénzbeli intézkedéseket is magukban foglaló - szankciókra és egyéb végrehajtási intézkedésekre vonatkozó szabályokat, és meghoznak minden szükséges intézkedést ezek megfelelő és hatékony végrehajtásának biztosítására, figyelembe véve ennek során a Bizottság által a 96. cikk szerint kiadott iránymutatásokat. Az előírt szankcióknak hatékonyaknak, arányosaknak és visszatartó erejűeknek kell lenniük. Figyelmet kell fordítaniuk a kkv-k - köztük az induló innovatív vállalkozások - érdekeire, valamint gazdasági életképességükre.
(2) A tagállamok az (1) bekezdésben említett szankciókra és egyéb végrehajtási intézkedésekre vonatkozó szabályokról haladéktalanul, de legkésőbb az alkalmazás kezdőnapjáig értesítik a Bizottságot, és haladéktalanul tájékoztatják a Bizottságot az e szabályokat érintő minden későbbi módosításról.
(3) Az 5. cikkben említett MI-gyakorlatok tilalmának be nem tartása legfeljebb 35 000 000 EUR összegű, vagy ha az elkövető vállalkozás, az előző pénzügyi év teljes globális éves árbevételének legfeljebb 7 %-át kitevő összegű közigazgatási bírsággal sújtandó, a kettő közül a magasabb összegűt figyelembe véve.
(4) Ha az MI-rendszer nem felel meg a gazdasági szereplőkkel vagy a bejelentett szervezetekkel kapcsolatos - az 5. cikkben meghatározottaktól eltérő -, következő rendelkezések bármelyikének, az legfeljebb 15 000 000 EUR összegű, vagy ha az elkövető vállalkozás, az előző pénzügyi év teljes globális éves árbevételének legfeljebb 3 %-át kitevő összegű közigazgatási bírsággal sújtandó, a kettő közül a magasabb összegűt figyelembe véve:
a) a szolgáltatók 16. cikk szerinti kötelezettségei;
b) a meghatalmazott képviselők 22. cikk szerinti kötelezettségei;
c) az importőrök 23. cikk szerinti kötelezettségei;
d) a forgalmazók 24. cikk szerinti kötelezettségei;
e) az alkalmazók 26. cikk szerinti kötelezettségei;
f) a bejelentett szervezeteknek a 31. cikk, a 33. cikk (1), (3) és (4) bekezdése vagy a 34. cikk szerinti követelményei és kötelezettségei;
g) a szolgáltatókra és az alkalmazókra vonatkozó, 50. cikk szerinti átláthatósági kötelezettségek.
(5) Ha a bejelentett szervezetek vagy az illetékes nemzeti hatóságok kérésére válaszul helytelen, hiányos vagy félrevezető információ szolgáltatása történik, az legfeljebb 7 500 000 EUR összegű, vagy ha az elkövető vállalkozás, az előző pénzügyi év teljes globális éves árbevételének legfeljebb 1 %-át kitevő összegű közigazgatási bírsággal sújtandó, a kettő közül a magasabb összegűt figyelembe véve.
(6) A kkv-k, köztük az induló innovatív vállalkozások esetében az e cikkben említett egyes pénzbírságok nem haladhatják meg a (3), a (4) és az (5) bekezdésben említett százalékos arányokat, illetve összegeket, és a kettő közül mindig az alacsonyabbat kell figyelembe venni.
(7) A közigazgatási bírság kiszabására vonatkozó döntés meghozatalakor és a közigazgatási bírság összegéről hozott döntés során minden egyes esetben figyelembe kell venni az adott helyzetre vonatkozó valamennyi releváns körülményt, és - adott esetben - figyelmet kell fordítani a következőkre:
a) a jogsértés és következményeinek jellege, súlyossága és időtartama, figyelembe véve az MI-rendszer célját, valamint adott esteben az érintett személyek számát és az általuk elszenvedett kár mértékét;
b) ugyanazon jogsértés miatt más piacfelügyeleti hatóságok szabtak-e már ki közigazgatási bírságot ugyanazon gazdasági szereplővel szemben;
c) más uniós vagy nemzeti jog megsértése miatt más hatóságok szabtak-e már ki közigazgatási bírságot ugyanazon gazdasági szereplővel szemben, amennyiben az említett jogsértések e rendelet tényleges megsértését jelentő ugyanazon tevékenységből vagy mulasztásból fakadnak;
d) a jogsértést elkövető gazdasági szereplő mérete, éves árbevétele és piaci részesedése;
e) az eset körülményei szerint alkalmazandó, bármely egyéb súlyosbító vagy enyhítő tényező, így például a jogsértésből fakadó, közvetlen vagy közvetett pénzügyi haszon szerzése vagy veszteség elkerülése;
f) a nemzeti illetékes hatósággal a jogsértés orvoslása és a jogsértés esetleges kedvezőtlen hatásainak enyhítése érdekében folytatott együttműködés mértéke;
g) a gazdasági szereplő felelősségének mértéke, figyelembe véve az általa végrehajtott technikai és szervezeti intézkedéseket;
h) az, ahogyan az illetékes nemzeti hatóságok tudomást szereztek a jogsértésről, különös tekintettel arra, hogy a gazdasági szereplő jelentette-e be a jogsértést, és ha igen, milyen részletességgel;
i) a jogsértés szándékos vagy gondatlan jellege;
j) intézkedések, amelyeket a gazdasági szereplő az érintett személyek által elszenvedett károk enyhítése érdekében tett.
(8) Minden tagállam szabályokat állapít meg arra vonatkozóan, hogy milyen mértékben szabhatók ki közigazgatási bírságok az adott tagállamban létrehozott hatóságokra és szervekre.
(9) A tagállamok jogrendszerétől függően a közigazgatási bírságokra vonatkozó szabályok alkalmazhatók olyan módon, hogy a bírságokat - az adott tagállamban alkalmazandó szabályoknak megfelelően - az illetékes nemzeti bíróságok vagy adott esetben más szervek szabják ki. Az ilyen szabályok alkalmazásának ezekben a tagállamokban azonos hatással kell járniuk.
(10) Az e cikk szerinti hatásköröket az uniós és a nemzeti joggal összhangban lévő megfelelő eljárási garanciák - többek között a hatékony jogorvoslatok és a jogszerű eljárás - mellett kell gyakorolni.
(11) A tagállamok évente jelentést tesznek a Bizottságnak az adott évben e cikkel összhangban kiszabott közigazgatási bírságokról, valamint a kapcsolódó jogvitákról vagy bírósági eljárásokról.
100. cikk
Az uniós intézményekre, szervekre és hivatalokra kiszabott közigazgatási bírságok
(1) Az európai adatvédelmi biztos közigazgatási bírságot szabhat ki az e rendelet hatálya alá tartozó uniós intézményekre, szervekre és hivatalokra. A közigazgatási bírság kiszabására vonatkozó döntés meghozatalakor és a bírság összegének meghatározásakor minden egyes esetben figyelembe kell venni az adott helyzetre vonatkozó valamennyi releváns körülményt, és kellő figyelmet kell fordítani a következőkre:
a) a jogsértés és következményeinek jellege, súlyossága és időtartama, figyelembe véve az érintett MI-rendszer célját, valamint adott esetben az érintett személyek számát és az általuk elszenvedett kár mértékét;
b) az uniós intézmény, szerv vagy hivatal felelősségének mértéke, figyelembe véve a jogsértés megelőzése érdekében végrehajtott technikai és szervezeti intézkedéseket;
c) az uniós intézmény, szerv vagy hivatal intézkedései az érintettek által elszenvedett kár enyhítésére;
d) az európai adatvédelmi biztossal a jogsértés orvoslása és a jogsértés esetleges kedvezőtlen hatásainak enyhítése érdekében folytatott együttműködés mértéke, így például az európai adatvédelmi biztos által az érintett uniós intézménnyel, szervvel vagy hivatallal szemben ugyanazon tárgyban korábban elrendelt bármely intézkedésnek való megfelelés;
e) az uniós intézmény, szerv vagy hivatal által korábban elkövetett hasonló jogsértések;
f) annak módja, ahogyan az európai adatvédelmi biztos tudomást szerzett a jogsértésről, különös tekintettel arra, hogy az uniós intézmény, szerv vagy hivatal jelentette-e be a jogsértést, és ha igen, milyen részletességgel;
g) az uniós intézmény, szerv vagy hivatal éves költségvetése.
(2) Az 5. cikkben említett MI-gyakorlatok tilalmának be nem tartása legfeljebb 1 500 000 EUR összegű közigazgatási bírsággal sújtandó.
(3) Ha az MI-rendszer nem felel meg az e rendelet szerinti - az 5. cikkben meghatározottaktól eltérő - követelményeknek vagy kötelezettségeknek, az legfeljebb 750 000 EUR összegű közigazgatási bírsággal sújtandó.
(4) Az e cikk szerinti határozatok meghozatala előtt az európai adatvédelmi biztos biztosítja az európai adatvédelmi biztos által lefolytatott eljárás tárgyát képező uniós intézmény, szerv vagy hivatal számára annak lehetőségét, hogy kifejtse álláspontját az esetleges jogsértéssel összefüggésben. Az európai adatvédelmi biztos a döntéseit csak olyan elemekre és körülményekre alapozhatja, amelyekkel kapcsolatban az érintett felek megtehették észrevételeiket. Az esetleges panaszosokat szorosan be kell vonni az eljárásba.
(5) Az érintett felek védelemhez való jogát az eljárás során teljes mértékben tiszteletben kell tartani. Az érintett felek jogosultak arra, hogy hozzáférjenek az európai adatvédelmi biztos aktájához, figyelemmel az egyéneknek vagy vállalkozásoknak a személyes adataik vagy üzleti titkaik védeleméhez fűződő jogos érdekére.
(6) Az e cikk szerint kiszabott bírságok révén beszedett összegek hozzájárulnak az Unió általános költségvetéséhez. A pénzbírságok nem befolyásolhatják a megbírságolt uniós intézmény, szerv vagy hivatal hatékony működését.
(7) Az európai adatvédelmi biztos évente tájékoztatja az MI-hivatalt az e cikk alapján kiszabott közigazgatási bírságokról, valamint az általa kezdeményezett jogvitákról vagy bírósági eljárásokról.
101. cikk
Az általános célú MI-modellek szolgáltatóira kiszabott pénzbírságok
(1) A Bizottság az általános célú MI-modellek szolgáltatóira az előző pénzügyi évben az éves teljes globális árbevételük legfeljebb 3 %-át kitevő összegű vagy legfeljebb 15 000 000 EUR összegű pénzbírságot szabhat ki, a kettő közül a magasabb összegűt figyelembe véve, amennyiben a Bizottság megállapítja, hogy a szolgáltató szándékosan vagy gondatlanságból:
a) megsértette e rendelet releváns rendelkezéseit;
b) nem tett eleget a 91. cikk szerinti, dokumentum iránti kérelemnek vagy információkérésnek, illetve helytelen, hiányos vagy félrevezető információt szolgáltatott;
c) nem tett eleget a 93. cikk alapján előírt intézkedésnek;
d) nem biztosított hozzáférést a Bizottság számára az általános célú MI-modellhez vagy a rendszerszintű kockázatot jelentő általános célú MI-modellhez a 92. cikk szerinti értékelés elvégzése céljából.
A Bizottság a pénzbírság vagy a kényszerítő bírság összegét - az arányosság és a megfelelőség elvét kellően figyelembe véve - a jogsértés jellegére, súlyosságára és időtartamára tekintettel állapítja meg. A Bizottság figyelembe veszi a 93. cikk (3) bekezdésével összhangban tett vagy az 56. cikkel összhangban a vonatkozó gyakorlati kódexekben vállalt kötelezettségeket is.
(2) Az (1) bekezdés szerinti határozat elfogadása előtt a Bizottság közli előzetes megállapításait az általános célú MI-modell szolgáltatójával, és lehetőséget biztosít számára, hogy kifejtse álláspontját.
(3) Az e cikkel összhangban kiszabott pénzbírságoknak hatékonyaknak, arányosaknak és visszatartó erejűeknek kell lenniük.
(4) Az e cikk alapján kiszabott pénzbírságokra vonatkozó információkat adott esetben a Testülettel is közölni kell.
(5) Az Európai Unió Bírósága korlátlan felülvizsgálati jogkörrel rendelkezik a Bizottságnak a pénzbírság összegét e cikk alapján megállapító határozatai tekintetében. A Bíróság a kiszabott pénzbírságot törölheti, csökkentheti vagy növelheti.
(6) A Bizottság végrehajtási jogi aktusokat fogad el, amelyek részletes szabályokat és eljárási biztosítékokat tartalmaznak az e cikk (1) bekezdése szerinti határozatok esetleges elfogadására irányuló eljárásokra vonatkozóan. Ezeket a végrehajtási jogi aktusokat a 98. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.
XIII. FEJEZET
ZÁRÓ RENDELKEZÉSEK
102. cikk
A 300/2008/EK rendelet módosítása
A 300/2008/EK rendelet 4. cikkének (3) bekezdése a következő albekezdéssel egészül ki:
"Az (EU) 2024/1689 európai parlamenti és tanácsi rendelet (*1) értelmében vett mesterségesintelligencia-rendszerekkel kapcsolatos védelmi berendezések jóváhagyására és használatára vonatkozó műszaki előírásokkal és eljárásokkal kapcsolatos részletes intézkedések elfogadásakor figyelembe kell venni az említett rendelet III. fejezetének 2. szakaszában foglalt követelményeket."
103. cikk
A 167/2013/EU rendelet módosítása
A 167/2013/EU rendelet 17. cikkének (5) bekezdése a következő albekezdéssel egészül ki:
"Az (EU) 2024/1689 európai parlamenti és tanácsi rendelet (*2) értelmében biztonsági alkotórészeknek minősülő mesterségesintelligencia-rendszerekre vonatkozó, az első albekezdés szerinti, felhatalmazáson alapuló jogi aktusok elfogadásakor figyelembe kell venni az említett rendelet III. fejezetének 2. szakaszában foglalt követelményeket."
104. cikk
A 168/2013/EU rendelet módosítása
A 168/2013/EU rendelet 22. cikkének (5) bekezdése a következő albekezdéssel egészül ki:
"Az (EU) 2024/1689 európai parlamenti és tanácsi rendelet (*3) értelmében biztonsági alkotórészeknek minősülő mesterségesintelligencia-rendszerekre vonatkozó, az első albekezdés szerinti, felhatalmazáson alapuló jogi aktusok elfogadásakor figyelembe kell venni az említett rendelet III. fejezetének 2. szakaszában foglalt követelményeket."
105. cikk
A 2014/90/EU irányelv módosítása
A 2014/90/EU irányelv 8. cikke a következő bekezdéssel egészül ki:
"(5) Azon mesterségesintelligencia-rendszerek esetében, amelyek az (EU) 2024/1689 európai parlamenti és tanácsi rendelet (*4) értelmében biztonsági alkotórészeknek minősülnek, a Bizottság az (1) bekezdés szerinti tevékenysége végzésekor, valamint a (2) és a (3) bekezdés szerinti műszaki és vizsgálati előírások elfogadásakor figyelembe veszi az említett rendelet III. fejezetének 2. szakaszában foglalt követelményeket."
106. cikk
Az (EU) 2016/797 irányelv módosítása
Az (EU) 2016/797 irányelv 5. cikke a következő bekezdéssel egészül ki:
"(12) Az (EU) 2024/1689 európai parlamenti és tanácsi rendelet (*5) értelmében biztonsági alkotórészeknek minősülő mesterségesintelligencia-rendszerekre vonatkozó, az (1) bekezdés szerinti, felhatalmazáson alapuló jogi aktusok és a (11) bekezdés szerinti végrehajtási jogi aktusok elfogadásakor figyelembe kell venni az említett rendelet III. fejezetének 2. szakaszában foglalt követelményeket."
107. cikk
Az (EU) 2018/858 rendelet módosításai
Az (EU) 2018/858 rendelet 5. cikke a következő bekezdéssel egészül ki:
"(4) Az (EU) 2024/1689 európai parlamenti és tanácsi rendelet (*6) értelmében biztonsági alkotórészeknek minősülő mesterségesintelligencia-rendszerekre vonatkozó, a (3) bekezdés szerinti, felhatalmazáson alapuló jogi aktusok elfogadásakor figyelembe kell venni az említett rendelet III. fejezetének 2. szakaszában foglalt követelményeket."
108. cikk
Az (EU) 2018/1139 rendelet módosítása
Az (EU) 2018/1139 rendelet a következőképpen módosul:
1. A 17. cikk a következő bekezdéssel egészül ki:
"(3) A (2) bekezdés sérelme nélkül, az (EU) 2024/1689 európai parlamenti és tanácsi rendelet (*7) értelmében biztonsági alkotórészeknek minősülő mesterségesintelligencia-rendszerekre vonatkozó, az (1) bekezdés szerinti végrehajtási jogi aktusok elfogadásakor figyelembe kell venni az említett rendelet III. fejezetének 2. szakaszában foglalt követelményeket.
(*7) Az Európai Parlament és a Tanács (EU) 2024/1689 rendelete (2024. június 13.) a mesterséges intelligenciára vonatkozó harmonizált szabályok megállapításáról, valamint a 300/2008/EK, a 167/2013/EU, a 168/2013/EU, az (EU) 2018/858, az (EU) 2018/1139 és az (EU) 2019/2144 rendelet, továbbá a 2014/90/EU, az (EU) 2016/797 és az (EU) 2020/1828 irányelv módosításáról (a mesterséges intelligenciáról szóló rendelet) (HL L, 2024/1689, 2024.7.12., ELI: http://data.europa.eu/eli/reg/2024/1689/oj)."
2. A 19. cikk a következő bekezdéssel egészül ki:
"(4) Az (EU) 2024/1689 rendelet értelmében biztonsági alkotórészeknek minősülő mesterségesintelligencia-rendszerekre vonatkozó, az (1) és a (2) bekezdés szerinti, felhatalmazáson alapuló jogi aktusok elfogadásakor figyelembe kell venni az említett rendelet III. fejezetének 2. szakaszában foglalt követelményeket."
3. A 43. cikk a következő bekezdéssel egészül ki:
"(4) Az (EU) 2024/1689 rendelet értelmében biztonsági alkotórészeknek minősülő mesterségesintelligencia-rendszerekre vonatkozó, az (1) bekezdés szerinti végrehajtási jogi aktusok elfogadásakor figyelembe kell venni az említett rendelet III. fejezetének 2. szakaszában foglalt követelményeket."
4. A 47. cikk a következő bekezdéssel egészül ki:
"(3) Az (EU) 2024/1689 rendelet értelmében biztonsági alkotórészeknek minősülő mesterségesintelligencia-rendszerekre vonatkozó, az (1) és a (2) bekezdés szerinti, felhatalmazáson alapuló jogi aktusok elfogadásakor figyelembe kell venni az említett rendelet III. fejezetének 2. szakaszában foglalt követelményeket."
5. Az 57. cikk a következő albekezdéssel egészül ki:
"Az (EU) 2024/1689 rendelet értelmében biztonsági alkotórészeknek minősülő mesterségesintelligencia-rendszerekre vonatkozó, említett végrehajtási jogi aktusok elfogadásakor figyelembe kell venni az említett rendelet III. fejezetének 2. szakaszában foglalt követelményeket."
6. Az 58. cikk a következő bekezdéssel egészül ki:
"(3) Az (EU) 2024/1689 rendelet értelmében biztonsági alkotórészeknek minősülő mesterségesintelligencia-rendszerekre vonatkozó, az (1) és a (2) bekezdés szerinti, felhatalmazáson alapuló jogi aktusok elfogadásakor figyelembe kell venni az említett rendelet III fejezetének 2. szakaszában foglalt követelményeket."
109. cikk
Az (EU) 2019/2144 rendelet módosítása
Az (EU) 2019/2144 rendelet 11. cikke a következő bekezdéssel egészül ki:
"(3) Az (EU) 2024/1689 európai parlamenti és tanácsi rendelet (*8) értelmében biztonsági alkotórészeknek minősülő mesterségesintelligencia-rendszerekre vonatkozó, a (2) bekezdés szerinti végrehajtási jogi aktusok elfogadásakor figyelembe kell venni az említett rendelet III. fejezetének 2. szakaszában foglalt követelményeket."
110. cikk
Az (EU) 2020/1828 irányelv módosítása
Az (EU) 2020/1828 európai parlamenti és tanácsi irányelv* I. melléklete a következő ponttal egészül ki:[31]
"68. Az Európai Parlament és a Tanács (EU) 2024/1689 rendelete (2024. június 13.) a mesterséges intelligenciára vonatkozó harmonizált szabályok megállapításáról, valamint a 300/2008/EK, a 167/2013/EU, a 168/2013/EU, az (EU) 2018/858, az (EU) 2018/1139 és az (EU) 2019/2144 rendelet, továbbá a 2014/90/EU, az (EU) 2016/797 és az (EU) 2020/1828 irányelv módosításáról (a mesterséges intelligenciáról szóló rendelet) (HL L, 2024/1689, 2024.7.12., ELI: http://data.europa.eu/eli/reg/2024/1689/oj)".
111. cikk
Már forgalomba hozott vagy üzembe helyezett MI-rendszerek és már forgalomba hozott általános célú MI-rendszerek
(1) Anélkül, hogy ez sértené az 5. cikknek a 113. cikk harmadik bekezdésének a) pontjában említett alkalmazását, a X. mellékletben felsorolt jogi aktusokkal létrehozott nagy méretű informatikai rendszerek alkotóelemeit képező azon MI-rendszereknek, amelyeket 2027. augusztus 2. előtt hoztak forgalomba vagy helyeztek üzembe, 2030. december 31-ig meg kell felelniük e rendeletnek.
Az e rendeletben meghatározott követelményeket figyelembe kell venni minden egyes, a X. mellékletben felsorolt jogi aktusokkal létrehozott nagy méretű informatikai rendszer értékelése során, amelyet az említett jogi aktusokban előírtak szerint kell elvégezni, továbbá abban az esetben, ha az említett jogi aktusokat más jogi aktussal váltják fel vagy módosítják.
(2) E rendelet 5. cikkének a 113. cikke harmadik bekezdésének a) pontjában említett alkalmazásának sérelme nélkül, e rendelet csak akkor alkalmazandó az e cikk (1) bekezdésében említettektől eltérő, nagy kockázatú azon MI-rendszerek üzemeltetőire, amelyeket 2026. augusztus 2. előtt hoztak forgalomba vagy helyeztek üzembe, ha az említett időponttól kezdve az említett rendszerek tervezésében jelentős változások történnek. Mindenesetre a hatóságok általi használatra szánt, nagy kockázatú MI-rendszerek szolgáltatóinak és alkalmazóinak 2030. augusztus 2-ig meg kell tenniük az e rendelet követelményeinek és kötelezettségeinek való megfeleléshez szükséges lépéseket.
(3) Azon általános célú MI-modellek szolgáltatóinak, amelyeket 2025. augusztus 2. előtt hoztak forgalomba, 2027. augusztus 2-ig meg kell tenniük az e rendeletben meghatározott kötelezettségeknek való megfeleléshez szükséges lépéseket.
112. cikk
Értékelés és felülvizsgálat
(1) A Bizottság e rendelet hatálybalépését követően, a 97. cikkben meghatározott felhatalmazási időszak végéig évente egyszer értékeli a III. mellékletben szereplő jegyzék és a tiltott MI-gyakorlatok 5. cikkben meghatározott jegyzéke módosításának szükségességét. A Bizottság az említett értékelés megállapításait továbbítja az Európai Parlamentnek és a Tanácsnak.
(2) A Bizottság 2028. augusztus 2-ig, és azt követően négyévente értékeli a következőket, és azokról jelentést nyújt be az Európai Parlamentnek és a Tanácsnak:
a) a III. mellékletben szereplő meglévő területkategóriák bővítésére vagy új területkategóriák felvételére irányuló módosítások szükségessége;
b) a további átláthatósági intézkedéseket igénylő MI-rendszerek 50. cikkben szereplő jegyzékének módosításai;
c) a felügyeleti és irányítási rendszer hatékonyságának megerősítésére irányuló módosítások.
(3) A Bizottság 2029. augusztus 2-ig, majd azt követően négyévente jelentést nyújt be az Európai Parlamentnek és a Tanácsnak e rendelet értékeléséről és felülvizsgálatáról. A jelentésnek értékelést kell magában foglalnia a végrehajtás struktúrájára és arra vonatkozóan, hogy esetlegesen szükség van-e valamely uniós ügynökségre a feltárt hiányosságok orvoslásához. A megállapítások alapján az említett jelentést adott esetben az e rendelet módosítására irányuló javaslatnak kell kísérnie. A jelentéseket közzé kell tenni.
(4) A (2) bekezdésben említett jelentésekben különös figyelmet kell fordítani a következőkre:
a) az illetékes nemzeti hatóságok pénzügyi, műszaki és emberi erőforrásainak helyzete az e rendelet alapján számukra kijelölt feladatok hatékony elvégzése érdekében;
b) a tagállamok által az e rendelet megsértése esetén alkalmazott szankciók és különösen a 99. cikk (1) bekezdésében említett közigazgatási bírságok helyzete;
c) az e rendelet támogatására kidolgozott, elfogadott harmonizált szabványok és közös előírások;
d) az e rendelet alkalmazásának megkezdése után piacra lépő vállalkozások száma, és ezek közül mennyi a kkv.
(5) A Bizottság 2028. augusztus 2-ig értékeli az MI-hivatal működését, azt, hogy az MI-hivatal elegendő hatáskörrel és illetékességgel rendelkezik-e feladatainak ellátásához, valamint azt, hogy e rendelet megfelelő végrehajtása és érvényesítése szempontjából releváns és szükséges lenne-e továbbfejleszteni az MI-hivatalt és annak végrehajtási hatásköreit, és növelni annak erőforrásait. A Bizottság értékeléséről jelentést nyújt be az Európai Parlamentnek és a Tanácsnak.
(6) A Bizottság 2028. augusztus 2-ig, majd azt követően négyévente jelentést nyújt be az általános célú MI-modellek energiahatékony fejlesztésével kapcsolatos szabvány jellegű dokumentumok kidolgozása terén elért előrehaladás áttekintéséről, és értékeli, hogy szükség van-e további intézkedésekre vagy fellépésekre, beleértve a kötelező erejű intézkedéseket vagy fellépéseket is. A jelentést be kell nyújtani az Európai Parlamentnek és a Tanácsnak, és azt nyilvánosságra kell hozni.
(7) A Bizottság 2028. augusztus 2-ig, majd azt követően háromévente értékeli az önkéntes magatartási kódexek hatását és hatékonyságát a III. fejezet 2. szakaszában foglalt, a nagy kockázatú MI-rendszerektől eltérő MI-rendszerekre vonatkozó követelmények és esetleg a nagy kockázatú MI-rendszerektől eltérő MI-rendszerekre vonatkozó egyéb további, így például a környezeti fenntarthatóságra vonatkozó követelmények alkalmazásának előmozdítása érdekében.
(8) Az (1)-(7) bekezdés alkalmazásában a Testület, a tagállamok és az illetékes nemzeti hatóságok kérésre és indokolatlan késedelem nélkül tájékoztatást nyújtanak a Bizottságnak.
(9) A Bizottság az (1)-(7) bekezdésben említett értékelések és felülvizsgálatok során figyelembe veszi a Testület, az Európai Parlament, a Tanács és az egyéb megfelelő szervek vagy források álláspontját és megállapításait.
(10) A Bizottság szükség esetén megfelelő javaslatokat nyújt be e rendelet módosítására, figyelembe véve különösen a technológiai fejlődést, az MI-rendszereknek az egészségre és a biztonságra, valamint az alapvető jogokra gyakorolt hatását, továbbá tekintettel az információs társadalom fejlődési szintjére.
(11) Annak érdekében, hogy iránymutatást nyújtson az e cikk (1)-(7) bekezdésében említett értékelésekhez és felülvizsgálatokhoz, az MI-hivatalnak objektív és részvételen alapuló módszertant kell kidolgoznia a kockázati szinteknek a releváns cikkekben meghatározott kritériumok alapján való értékelésére és az új rendszereknek a következő jegyzékekbe való felvételére vonatkozóan:
a) a III. mellékletben meghatározott jegyzék, beleértve a meglévő területkategóriák bővítését vagy új területkategóriák felvételét az említett mellékletbe;
b) az 5. cikkben meghatározott tiltott gyakorlatok jegyzéke; és
c) az 50. cikk szerinti, további átláthatósági intézkedéseket igénylő MI-rendszerek jegyzéke.
(12) E rendelet (10) bekezdés szerinti bármely módosításának, illetve az I. melléklet B. szakaszában felsorolt uniós ágazati harmonizációs jogszabályokat érintő, felhatalmazáson alapuló jogi aktusoknak vagy végrehajtási aktusoknak figyelembe kell venniük az egyes ágazatok szabályozási sajátosságait, valamint a meglévő irányítási, megfelelőségértékelési és végrehajtási mechanizmusokat, és az azok keretében létrehozott hatóságokat.
(13) A Bizottság 2031. augusztus 2-ig értékeli e rendelet végrehajtását, és erről jelentést készít az Európai Parlamentnek, a Tanácsnak, valamint az Európai Gazdasági és Szociális Bizottságnak, figyelembe véve e rendelet alkalmazásának első éveit. A megállapítások alapján a jelentést adott esetben az e rendelet módosítására irányuló javaslatnak kell kísérnie a végrehajtás struktúrájára és arra vonatkozóan, hogy szükség van-e valamely uniós ügynökségre a feltárt hiányosságok orvoslásához.
113. cikk
Hatálybalépés és alkalmazás
Ez a rendelet az Európai Unió Hivatalos Lapjában való kihirdetését követő huszadik napon lép hatályba.
Ezt a rendeletet 2026. augusztus 2-től kell alkalmazni.
Azonban:
a) az I. és a II. fejezetet 2025. február 2-től kell alkalmazni;
b) a III. fejezet 4. szakaszát, az V. fejezetet, a VII. fejezetet, és a XII. fejezetet - a 101. cikk kivételével -, valamint a 78. cikket 2025. augusztus 2-től kell alkalmazni;
c) A 6. cikk (1) bekezdését és az e rendeletben foglalt vonatkozó kötelezettségeket 2027. augusztus 2-től kell alkalmazni.
Ez a rendelet teljes egészében kötelező és közvetlenül alkalmazandó valamennyi tagállamban.
Kelt Brüsszelben, 2024. június 13-án.
az Európai Parlament részéről
az elnök
R. METSOLA
a Tanács részéről
az elnök
M. MICHEL
I. MELLÉKLET
Az uniós harmonizációs jogszabályok jegyzéke
A. szakasz - Az uniós harmonizációs jogszabályok jegyzéke az új jogszabályi keret alapján
1. Az Európai Parlament és a Tanács 2006/42/EK irányelve (2006. május 17.) a gépekről és a 95/16/EK irányelv módosításáról (HL L 157., 2006.6.9., 24. o.);
2. Az Európai Parlament és a Tanács 2009/48/EK irányelve (2009. június 18.) a játékok biztonságáról (HL L 170., 2009.6.30., 1. o.);
3. Az Európai Parlament és a Tanács 2013/53/EU irányelve (2013. november 20.) a kedvtelési célú vízi járművekről és a motoros vízi sporteszközökről, valamint a 94/25/EK irányelv hatályon kívül helyezéséről (HL L 354., 2013.12.28., 90. o.);
4. Az Európai Parlament és a Tanács 2014/33/EU irányelve (2014. február 26.) a felvonókra és a felvonókhoz készült biztonsági berendezésekre vonatkozó tagállami jogszabályok harmonizációjáról (HL L 96., 2014.3.29., 251. o.);
5. Az Európai Parlament és a Tanács 2014/34/EU irányelve (2014. február 26.) a robbanásveszélyes légkörben való használatra szánt felszerelésekre és védelmi rendszerekre vonatkozó tagállami jogszabályok harmonizációjáról (HL L 96., 2014.3.29., 309. o.);
6. Az Európai Parlament és a Tanács 2014/53/EU irányelve (2014. április 16.) a rádióberendezések forgalmazására vonatkozó tagállami jogszabályok harmonizációjáról és az 1999/5/EK irányelv hatályon kívül helyezéséről (HL L 153., 2014.5.22., 62. o.);
7. Az Európai Parlament és a Tanács 2014/68/EU irányelve (2014. május 15.) a nyomástartó berendezések forgalmazására vonatkozó tagállami jogszabályok harmonizációjáról (HL L 189., 2014.6.27., 164. o.);
8. Az Európai Parlament és a Tanács (EU) 2016/424 rendelete (2016. március 9.) a kötélpálya-létesítményekről és a 2000/9/EK irányelv hatályon kívül helyezéséről (HL L 81., 2016.3.31., 1. o.);
9. Az Európai Parlament és a Tanács (EU) 2016/425 rendelete (2016. március 9.) az egyéni védőeszközökről és a 89/686/EGK tanácsi irányelv hatályon kívül helyezéséről (HL L 81., 2016.3.31., 51. o.);
10. Az Európai Parlament és a Tanács (EU) 2016/426 rendelete (2016. március 9.) a gáz halmazállapotú tüzelőanyag égetésével üzemelő berendezésekről és a 2009/142/EK irányelv hatályon kívül helyezéséről (HL L 81., 2016.3.31., 99. o.);
11. Az Európai Parlament és a Tanács (EU) 2017/745 rendelete (2017. április 5.) az orvostechnikai eszközökről, a 2001/83/EK irányelv, a 178/2002/EK rendelet és az 1223/2009/EK rendelet módosításáról, valamint a 90/385/EGK és a 93/42/EGK tanácsi irányelv hatályon kívül helyezéséről (HL L 117., 2017.5.5., 1. o.);
12. Az Európai Parlament és a Tanács (EU) 2017/746 rendelete (2017. április 5.) az in vitro diagnosztikai orvostechnikai eszközökről, valamint a 98/79/EK irányelv és a 2010/227/EU bizottsági határozat hatályon kívül helyezéséről (HL L 117., 2017.5.5., 176. o.).
B. szakasz - Egyéb uniós harmonizációs jogszabályok jegyzéke
13. Az Európai Parlament és a Tanács 300/2008/EK rendelete (2008. március 11.) a polgári légi közlekedés védelmének közös szabályairól és a 2320/2002/EK rendelet hatályon kívül helyezéséről (HL L 97., 2008.4.9., 72. o.);
14. Az Európai Parlament és a Tanács 168/2013/EU rendelete (2013. január 15.) a két- vagy háromkerekű járművek, valamint a négykerekű motorkerékpárok jóváhagyásáról és piacfelügyeletéről (HL L 60., 2013.3.2., 52. o.);
15. Az Európai Parlament és a Tanács 167/2013/EU rendelete (2013. február 5.) a mezőgazdasági és erdészeti járművek jóváhagyásáról és piacfelügyeletéről (HL L 60., 2013.3.2., 1. o.);
16. Az Európai Parlament és a Tanács 2014/90/EU irányelve (2014. július 23.) a tengerészeti felszerelésekről és a 96/98/EK tanácsi irányelv hatályon kívül helyezéséről (HL L 257., 2014.8.28., 146. o.);
17. Az Európai Parlament és a Tanács (EU) 2016/797 irányelve (2016. május 11.) a vasúti rendszer Európai Unión belüli kölcsönös átjárhatóságáról (HL L 138., 2016.5.26., 44. o.);
18. Az Európai Parlament és a Tanács (EU) 2018/858 rendelete (2018. május 30.) a gépjárművek és pótkocsijaik, valamint az ilyen járművek rendszereinek, alkotóelemeinek és önálló műszaki egységeinek jóváhagyásáról és piacfelügyeletéről, a 715/2007/EK és az 595/2009/EK rendelet módosításáról, valamint a 2007/46/EK irányelv hatályon kívül helyezéséről (HL L 151., 2018.6.14., 1. o.);
19. Az Európai Parlament és a Tanács (EU) 2019/2144 rendelete (2019. november 27.) a gépjárműveknek és pótkocsijaiknak, valamint az ilyen járművek rendszereinek, alkotóelemeinek és önálló műszaki egységeinek az általános biztonság, továbbá az utasok és a veszélyeztetett úthasználók védelme tekintetében történő típusjóváhagyásáról, az (EU) 2018/858 európai parlamenti és tanácsi rendelet módosításáról, valamint a 78/2009/EK, a 79/2009/EK és a 661/2009/EK európai parlamenti és tanácsi rendelet és a 631/2009/EK, a 406/2010/EU, a 672/2010/EU, az 1003/2010/EU, az 1005/2010/EU, az 1008/2010/EU, az 1009/2010/EU, a 19/2011/EU, a 109/2011/EU, a 458/2011/EU, a 65/2012/EU, a 130/2012/EU, a 347/2012/EU, a 351/2012/EU, az 1230/2012/EU és az (EU) 2015/166 bizottsági rendelet hatályon kívül helyezéséről (HL L 325., 2019.12.16., 1. o.);
20. Az Európai Parlament és a Tanács (EU) 2018/1139 rendelete (2018. július 4.) a polgári légi közlekedés területén alkalmazandó közös szabályokról és az Európai Unió Repülésbiztonsági Ügynökségének létrehozásáról, valamint a 2111/2005/EK, az 1008/2008/EK, a 996/2010/EU, a 376/2014/EU európai parlamenti és tanácsi rendelet és a 2014/30/EU és a 2014/53/EU európai parlamenti és tanácsi irányelv módosításáról, valamint az 552/2004/EK és a 216/2008/EK európai parlamenti és tanácsi rendelet és a 3922/91/EGK tanácsi rendelet hatályon kívül helyezéséről (HL L 212., 2018.8.22., 1. o.), a pilóta nélküli légi járművek, valamint motorjaik, propellereik, alkatrészeik és a távirányításukra szolgáló berendezések esetében a légi járművek 2. cikk (1) bekezdésének a) és b) pontjában említett tervezése, gyártása és forgalomba hozatala tekintetében.
II. MELLÉKLET
Az 5. cikk (1) bekezdése első albekezdése h) pontjának iii. alpontjában említett bűncselekmények jegyzéke
Az 5. cikk (1) bekezdése első albekezdése h) pontjának iii. alpontjában említett bűncselekmények:
- terrorizmus,
- emberkereskedelem,
- gyermekek szexuális kizsákmányolása és gyermekpornográfia,
- kábítószerek vagy pszichotrop anyagok tiltott kereskedelme,
- fegyverek, lőszerek és robbanóanyagok tiltott kereskedelme,
- szándékos emberölés, súlyos testi sértés,
- emberi szervek vagy szövetek tiltott kereskedelme,
- nukleáris és radioaktív anyagok tiltott kereskedelme,
- emberrablás, személyi szabadságtól való jogellenes megfosztás és túszejtés,
- a Nemzetközi Büntetőbíróság joghatósága alá tartozó bűncselekmények,
- repülőgép vagy hajó hatalomba kerítése,
- szexuális kényszerítés,
- környezettel kapcsolatos bűncselekmények,
- szervezett vagy fegyveres rablás,
- szabotázs,
- a fent felsoroltak közül egy vagy több bűncselekményben érintett bűnszervezetben való részvétel.
III. MELLÉKLET
A 6. cikk (2) bekezdésében említett nagy kockázatú MI-rendszerek
A 6. cikk (2) bekezdése szerinti nagy kockázatú MI-rendszerek a következő területek bármelyikén felsorolt MI-rendszerek:
1. biometria, amennyiben annak használatát a releváns uniós vagy nemzeti jog megengedi:
a) távoli biometrikus azonosító rendszerek.
Ez nem terjed ki a biometrikus ellenőrzéshez való felhasználásra szánt azon MI-rendszerekre, amelyek kizárólagos célja annak megerősítése, hogy egy adott természetes személy azonos azzal a személlyel, akinek állítja magát;
b) érzékeny vagy védett tulajdonságok vagy jellemzők szerint, ilyen tulajdonságokból vagy jellemzőkből levont következtetések alapján való biometrikus kategorizáláshoz való használatra szánt MI-rendszerek;
c) érzelemfelismeréshez való használatra szánt MI-rendszerek;
2. kritikus infrastruktúra: a kritikus digitális infrastruktúrák, a közúti forgalom, vagy a víz-, gáz-, fűtési vagy villamosenergia-szolgáltatás irányításában és működtetésében biztonsági alkotórészekként való használatra szánt MI-rendszerek;
3. oktatás és szakképzés:
a) minden szintre kiterjedő oktatási és szakképzési intézményekbe való bejutás vagy felvétel meghatározásához, illetve természetes személyek ilyen intézményekhez történő hozzárendeléséhez való használatra szánt MI-rendszerek;
b) tanulási eredmények értékeléséhez való használatra szánt MI-rendszerek, beleértve azon eseteket is, amikor ezeket az eredményeket a minden szintre kiterjedő oktatási és szakképzési intézményekben tanuló természetes személyek tanulási folyamatának irányítására használják;
c) valamennyi szinten az oktatási és szakképzési intézményekkel összefüggésben vagy azokon belül azon oktatás megfelelő szintjének felmérése céljából való használatra szánt MI-rendszerek, amelyet az egyén kapni fog, vagy amelyhez hozzá fog tudni férni;
d) valamennyi szinten az oktatási és szakképzési intézményekkel összefüggésben vagy azokon belül a vizsgák során a tiltott tanulói magatartás figyelemmel követéséhez és észleléséhez való használatra szánt MI-rendszerek;
4. foglalkoztatás, a munkavállalók irányítása és az önfoglalkoztatáshoz való hozzáférés:
a) természetes személyek felvételéhez vagy kiválasztásához való használatra szánt MI-rendszerek, különösen célzott álláshirdetések elhelyezése, a jelentkezések elemzése és szűrése, valamint a jelöltek értékelése céljából;
b) a munkával kapcsolatos jogviszonyok feltételeit, az előléptetést vagy a munkával kapcsolatos szerződéses jogviszonyok megszüntetését érintő döntések meghozatalához, egyéni magatartáson vagy személyes vonásokon vagy jellemzőkön alapuló feladatkiosztáshoz, vagy az ilyen jogviszonyokban álló személyek teljesítményének és magatartásának nyomon követéséhez és értékeléséhez való használatra szánt MI-rendszerek;
5. alapvető magán- és közszolgáltatásokhoz és ellátásokhoz való hozzáférés és ezek igénybevétele:
a) hatóságok általi vagy hatóságok nevében való használatra szánt MI-rendszerek, természetes személyek állami segítségnyújtási ellátásokra és szolgáltatásokra, köztük egészségügyi szolgáltatásokra való jogosultságának értékelése, valamint az ilyen ellátások és szolgáltatások biztosítása, csökkentése, visszavonása vagy visszaigénylése céljából;
b) a természetes személyek hitelképességének értékeléséhez vagy hitelpontszámuk megállapításához való használatra szánt MI-rendszerek, kivéve a pénzügyi csalás észlelésére használt MI-rendszereket;
c) a természetes személyek vonatkozásában egészség- és életbiztosítás esetén a kockázatértékeléshez és az árképzéshez való használatra szánt MI-rendszerek;
d) természetes személyek segélyhívásainak értékeléséhez és osztályozásához, vagy a sürgősségi segélyszolgálatok - többek között a rendőrség és a tűzoltók által biztosított ilyen szolgáltatások és orvosi segítségnyújtás - kirendeléséhez vagy a kirendelési prioritás megállapításához, valamint a sürgősségi egészségügyi ellátásban alkalmazott betegosztályozási rendszerekhez való használatra szánt MI-rendszerek.
6. bűnüldözés, amennyiben azok használatát a releváns uniós vagy nemzeti jog megengedi:
a) a bűnüldöző hatóságok által vagy nevében, vagy a bűnüldöző hatóságok támogatása érdekében uniós intézmények, szervek, hivatalok vagy ügynökségek által vagy nevében való használatra szánt, annak értékelésére szolgáló MI-rendszerek, hogy egy természetes személy esetében fennáll-e annak kockázata, hogy bűncselekmény áldozatává válik;
b) a bűnüldöző hatóságok által vagy nevében, vagy a bűnüldöző hatóságok támogatása érdekében uniós intézmények, szervek, hivatalok vagy ügynökségek által például poligráfként vagy hasonló eszközként való használatra szánt MI-rendszerek;
c) bűncselekményekkel kapcsolatos nyomozás vagy büntetőeljárás alá vonás során a bizonyítékok megbízhatóságának értékelése céljából a bűnüldöző hatóságok által vagy nevében, vagy a bűnüldöző hatóságok támogatása érdekében uniós intézmények, szervek, hivatalok vagy ügynökségek általvaló használatra szánt MI-rendszerek;
d) a bűnüldöző hatóságok által vagy nevében, vagy a bűnüldöző hatóságok támogatása érdekében uniós intézmények, szervek, hivatalok vagy ügynökségek által való használatra szánt MI-rendszerek annak értékeléséhez, hogy egy természetes személy esetében fennáll-e bűncselekmény elkövetésének vagy ismételt elkövetésének kockázata, nem kizárólag az (EU) 2016/680 irányelv 3. cikkének 4. pontjában említett, természetes személyekre vonatkozó profilalkotás alapján, vagy természetes személyek vagy csoportok személyiségjegyeinek és személyes jellemzőinek, vagy múltbeli bűnözői magatartásának értékeléséhez;
e) bűncselekmények felderítése, bűncselekményekkel kapcsolatos nyomozás vagy büntetőeljárás alá vonás során az (EU) 2016/680 irányelv 3. cikkének 4. pontjában említett, természetes személyekre vonatkozó profilalkotás céljából a bűnüldöző hatóságok által vagy nevében, vagy a bűnüldöző hatóságok támogatása érdekében uniós intézmények, szervek, hivatalok vagy ügynökségek által való használatra szánt MI-rendszerek;
7. migráció, menekültügy és határigazgatás, amennyiben azok használatát a releváns uniós vagy nemzeti jog megengedi:
a) az illetékes hatóságok vagy az uniós intézmények, szervek, hivatalok vagy ügynökségek által vagy nevében poligráfként vagy hasonló eszközként való használatra szánt MI-rendszerek;
b) a valamely tagállam területére belépni szándékozó vagy oda belépett természetes személy által jelentett kockázat - többek között biztonsági kockázat, irreguláris migrációs kockázat vagy egészségügyi kockázat - értékelését célzó, illetékes hatóságok által vagy nevében, vagy uniós intézmények, szervek, hivatalok vagy ügynökségek által való használatra szánt MI-rendszerek;
c) menedékjog iránti kérelmek, vízumkérelmek vagy tartózkodási engedély iránti kérelmek, valamint jogállást kérelmező természetes személyek jogosultsága tekintetében az ezekkel összefüggő panaszok kivizsgálásához - beleértve a bizonyítékok megbízhatóságának kapcsolódó értékeléseihez - az illetékes hatóságok által vagy nevében, vagy az illetékes hatóságok támogatása érekében uniós intézmények, szervek, hivatalok vagy ügynökségek által való használatra szánt MI-rendszerek;
d) a migrációval, a menekültüggyel vagy a határigazgatással összefüggésben - az úti okmányok ellenőrzése kivételével - a természetes személyek felderítése, felismerése vagy azonosítása céljából az illetékes hatóságok vagy az uniós intézmények, szervek, hivatalok vagy ügynökségek által vagy nevében való használatra szánt MI-rendszerek;
8. igazságszolgáltatás és demokratikus folyamatok:
a) igazságügyi hatóság által vagy nevében való használatra szánt MI-rendszerek, amelyek célja, hogy segítsék az igazságügyi hatóságokat a ténybeli és a jogi elemek kutatásában és értelmezésében, valamint a jog konkrét tényekre történő alkalmazásában, illetve hogy alternatív vitarendezés keretében hasonló módon használják őket;
b) választások vagy népszavazások eredményének vagy a természetes személyek választásokon vagy népszavazásokon tanúsított szavazási magatartásának befolyásolásához való használatra szánt MI-rendszerek. Nem tartoznak ide azok az MI-rendszerek, amelyek kimenete nem érint közvetlenül természetes személyeket, mint például a politikai kampányok adminisztratív vagy logisztikai szempontból való megszervezéséhez, optimalizálásához vagy strukturálásához használt eszközök.
IV. MELLÉKLET
A 11. cikk (1) bekezdésében említett műszaki dokumentáció
A 11. cikk (1) bekezdésében említett műszaki dokumentációnak a releváns MI-rendszerre alkalmazandó, legalább a következő információkat kell tartalmaznia:
1. az MI-rendszer általános leírása, ideértve a következőket:
a) a rendszer rendeltetése, a szolgáltató neve és a rendszer verziója, feltüntetve a korábbi verziókhoz való viszonyát;
b) adott esetben annak ismertetése, hogy az MI-rendszer hogyan működik együtt olyan hardverrel vagy szoftverrel, köztük más MI-rendszerekkel, amelyek nem részei magának az MI-rendszernek, illetve hogyan használható fel az ezekkel való interakcióra;
c) a releváns szoftver vagy förmver verziója és a verzió frissítéseivel kapcsolatos követelmények;
d) az MI-rendszer valamennyi forgalomba hozatali vagy üzembe helyezési formájának ismertetése, például a hardverbe beágyazott szoftvercsomagok, letölthető alkalmazások vagy API-k;
e) annak a hardvernek a leírása, amelyen az MI-rendszert működtetni kívánják;
f) amennyiben az MI-rendszer termékek alkotóeleme, e termékek külső jellemzőit, jelölését és belső elrendezését bemutató fényképek vagy illusztrációk;
g) az alkalmazó rendelkezésére bocsátott felhasználói felület alapleírása;
h) használati utasítás az alkalmazó számára és adott esetben az alkalmazó rendelkezésére bocsátott felhasználói felület alapleírása;
2. az MI-rendszer elemeinek és fejlesztési folyamatának részletes leírása, beleértve a következőket:
a) az MI-rendszer fejlesztése érdekében alkalmazott módszerek és az ennek érdekében tett lépések, beleértve adott esetben a harmadik felek által biztosított, előre betanított rendszerek vagy eszközök igénybevételét, valamint azt, hogy a szolgáltató hogyan használta, integrálta vagy módosította azokat;
b) a rendszer tervezési előírásai, nevezetesen az MI-rendszer és az algoritmusok általános logikája; a legfontosabb tervezési döntések, beleértve az indokokat és a feltételezéseket, többek között azon személyek vagy személyek csoportjai tekintetében is, akik vagy amelyek vonatkozásában a rendszert használni kívánják; a fő osztályozási döntések; tervezésének megfelelően mit optimalizál a rendszer és a különböző paraméterek relevanciája; a rendszer várt kimenetének és kimeneti minőségének leírása; a III. fejezet 2. szakaszában foglalt követelményeknek való megfelelés érdekében elfogadott műszaki megoldásokkal kapcsolatos, az esetleges kompromisszumokra vonatkozó döntések;
c) a rendszer architektúrájának leírása, ismertetve, hogy a szoftverösszetevők hogyan épülnek egymásra vagy egymásba, illetve hogyan integrálódnak a teljes folyamatba; az MI-rendszer fejlesztéséhez, tanításához, teszteléséhez és validálásához használt számítási erőforrások;
d) adott esetben a tanítómódszereket és -technikákat, valamint az alkalmazott tanítóadat-készleteket leíró adatlapokra vonatkozó adatszolgáltatási követelmények, ideértve ezen adatkészletek általános leírását, az eredetükre, a hatályukra és a fő jellemzőikre vonatkozó információkat is; az adatok megszerzésének és kiválasztásának módja; címkézési eljárások (például felügyelt tanulás esetén), adattisztítási módszerek (például a kiugró értékek észlelése);
e) a 14. cikkel összhangban szükséges emberi felügyeleti intézkedések értékelése, beleértve az MI-rendszerekhez kapcsolódó kimenetek alkalmazók általi értelmezésének megkönnyítéséhez szükséges technikai intézkedések értékelését, a 13. cikk (3) bekezdésének d) pontjával összhangban;
f) adott esetben az MI-rendszer és teljesítménye előre meghatározott változtatásainak részletes leírása, az MI-rendszernek a III. fejezet 2. szakaszában foglalt releváns követelményeknek való folyamatos megfelelését biztosító műszaki megoldásokkal kapcsolatos valamennyi releváns információval együtt;
g) az alkalmazott validálási és tesztelési eljárások, beleértve a felhasznált validálási és tesztelési adatokra és azok fő jellemzőire vonatkozó információkat; a pontosság, a megbízhatóság és a III. fejezet 2. szakaszában foglalt egyéb vonatkozó követelményeknek való megfelelés mérésére használt mérőszámok, valamint a potenciálisan diszkriminatív hatások; a felelős személyek által dátummal és aláírással ellátott tesztelési naplók és tesztelési jelentések, többek között az f) pontban említett, előre meghatározott változtatásokra vonatkozóan;
h) az életbe léptetett kiberbiztonsági intézkedések;
3. az MI-rendszer nyomon követésére, működésére és ellenőrzésére vonatkozó részletes információk, különös tekintettel a következőkre: a rendszer teljesítménybeli képességei és korlátai, beleértve a pontosság fokát azon személyek vagy személyek csoportjai esetében, akik vagy amelyek tekintetében a rendszert használni kívánják, valamint a pontosság általános elvárt szintje a rendeltetéséhez viszonyítva; az előre látható nem kívánt eredmények, valamint az egészséggel és a biztonsággal, az alapvető jogokkal és a megkülönböztetéssel kapcsolatos kockázatok forrásai az MI-rendszer rendeltetése tekintetében; a 14. cikkel összhangban szükséges emberi felügyeleti intézkedések, beleértve az MI-rendszerek kimeneteinek alkalmazók általi értelmezését megkönnyítő technikai intézkedéseket; adott esetben a bemeneti adatokra vonatkozó előírások;
4. a teljesítménymutatók megfelelőségének leírása az adott MI-rendszer tekintetében;
5. a 9. cikk szerinti kockázatkezelési rendszer részletes ismertetése;
6. a szolgáltató által a rendszeren, annak életciklusa során végrehajtott releváns változtatások leírása;
7. az olyan, részben vagy egészben alkalmazott harmonizált szabványok jegyzéke, amelyek hivatkozása megjelent az Európai Unió Hivatalos Lapjában; amennyiben nem került sor ilyen harmonizált szabványok alkalmazására, a III. fejezet 2. szakaszában foglalt követelményeknek való megfelelés érdekében alkalmazott megoldások részletes leírása, beleértve az egyéb releváns szabványok és műszaki előírások jegyzékét;
8. a 47. cikkben említett EU-megfelelőségi nyilatkozat másolata;
9. a 72. cikkel összhangban az MI-rendszer teljesítményének a forgalomba hozatalt követő értékelésére szolgáló rendszer részletes leírása, beleértve a 72. cikk (3) bekezdésében említett forgalomba hozatal utáni nyomonkövetési tervet.
V. MELLÉKLET
EU-megfelelőségi nyilatkozat
A 47. cikkben említett EU-megfelelőségi nyilatkozatnak tartalmaznia kell a következő információk mindegyikét:
1. az MI-rendszer neve és típusa, valamint minden olyan további egyértelmű hivatkozás, amely lehetővé teszi az MI-rendszer azonosítását és nyomonkövethetőségét;
2. a szolgáltatónak vagy adott esetben a szolgáltató meghatalmazott képviselőjének neve és címe;
3. arra vonatkozó nyilatkozat, hogy a 47. cikkben említett EU-megfelelőségi nyilatkozat kiadására a szolgáltató kizárólagos felelőssége mellett kerül sor;
4. arra vonatkozó nyilatkozat, hogy az MI-rendszer megfelel e rendeletnek, és adott esetben bármely egyéb releváns uniós jogszabálynak, amely a 47. cikkben említett EU-megfelelőségi nyilatkozat kiállítását írják elő;
5. amennyiben valamely MI-rendszer személyes adatok kezelését teszi szükségessé, nyilatkozat arról, hogy az adott MI-rendszer megfelel az (EU) 2016/679 és az (EU) 2018/1725 rendeletnek, valamint az (EU) 2016/680 irányelvnek;
6. hivatkozás bármely releváns, alkalmazott harmonizált szabványra vagy bármely más olyan közös előírásra, amellyel kapcsolatban megfelelőségi nyilatkozatra került sor;
7. adott esetben a bejelentett szervezet neve és azonosító száma, az elvégzett megfelelőségértékelési eljárás leírása és a kiadott tanúsítvány azonosítása;
8. a megfelelőségi nyilatkozat kiállításának helye és dátuma, az aláíró személy neve és beosztása, valamint annak a személynek a megjelölése, aki helyett vagy akinek a nevében aláír, továbbá aláírás.
VI. MELLÉKLET
Belső ellenőrzésen alapuló megfelelőségértékelési eljárás
1. A belső ellenőrzésen alapuló megfelelőségértékelési eljárás a 2., a 3. és a 4. ponton alapuló megfelelőségértékelési eljárás.
2. A szolgáltató ellenőrzi, hogy a létrehozott minőségirányítási rendszer megfelel-e a 17. cikkben foglalt követelményeknek.
3. A szolgáltató megvizsgálja a műszaki dokumentációban szereplő információkat annak értékelése érdekében, hogy az MI-rendszer megfelel-e a releváns, a III. fejezet 2. szakaszában foglalt alapvető követelményeknek.
4. A szolgáltató azt is ellenőrzi, hogy az MI-rendszer tervezésének és fejlesztésének folyamata, valamint a 72. cikkben említett, forgalomba hozatal utáni nyomon követése összhangban van-e a műszaki dokumentációval.
VII. MELLÉKLET
A minőségirányítási rendszer értékelésén és a műszaki dokumentáció értékelésén alapuló megfelelőség
1. Bevezetés
A minőségirányítási rendszer értékelésén és a műszaki dokumentáció értékelésén alapuló megfelelőség a 2-5. ponton alapuló megfelelőségértékelési eljárás.
2. Áttekintés
Az MI-rendszerek megtervezésére, fejlesztésére és tesztelésére szolgáló, a 17. cikk szerinti jóváhagyott minőségirányítási rendszert a 3. ponttal összhangban meg kell vizsgálni, és annak az 5. pontban meghatározott felügyelet tárgyát kell képeznie. Az MI-rendszer műszaki dokumentációját a 4. ponttal összhangban meg kell vizsgálni.
3. Minőségirányítási rendszer
3.1. A szolgáltató kérelmének a következőket kell tartalmaznia:
a) a szolgáltató neve és címe, és amennyiben a kérelmet a meghatalmazott képviselő nyújtja be, a meghatalmazott képviselő neve és címe;
b) az ugyanazon minőségirányítási rendszer hatálya alá tartozó MI-rendszerek jegyzéke;
c) az ugyanazon minőségirányítási rendszer hatálya alá tartozó minden egyes MI-rendszer műszaki dokumentációja;
d) a minőségirányítási rendszerre vonatkozó dokumentáció, amelynek a 17. cikkben felsorolt valamennyi szempontra ki kell terjednie;
e) az olyan eljárások leírása, amelyek biztosítják, hogy a minőségirányítási rendszer megfelelő és hatékony maradjon;
f) írásos nyilatkozat arról, hogy a szolgáltató ugyanazt a kérelmet más bejelentett szervezethez nem nyújtotta be.
3.2. A bejelentett szervezetnek értékelnie kell a minőségirányítási rendszert, és meg kell állapítania, hogy az megfelel-e a 17. cikkben meghatározott követelményeknek.
A határozatról értesíteni kell a szolgáltatót vagy annak meghatalmazott képviselőjét.
Az értesítésnek tartalmaznia kell a minőségirányítási rendszer értékelése alapján levont következtetéseket és az indokolással ellátott értékelési határozatot.
3.3. A jóváhagyott minőségirányítási rendszert a szolgáltatónak továbbra is alkalmaznia kell és karban kell tartania annak érdekében, hogy az megfelelő és hatékony maradjon.
3.4. A szolgáltatónak fel kell hívnia a bejelentett szervezet figyelmét a jóváhagyott minőségirányítási rendszer vagy az ilyen rendszer hatálya alá tartozó MI-rendszerek jegyzékének bármely tervezett módosítására.
A bejelentett szervezetnek meg kell vizsgálnia a javasolt módosításokat, majd el kell döntenie, hogy a módosított minőségirányítási rendszer a továbbiakban is megfelel-e a 3.2. pontban említett követelményeknek vagy újabb értékelésre van szükség.
A bejelentett szervezetnek értesítenie kell a szolgáltatót a határozatáról. Az értesítésnek tartalmaznia kell a változtatások értékelése alapján levont következtetéseket és az indokolással ellátott értékelési határozatot.
4. A műszaki dokumentáció ellenőrzése.
4.1. A 3. pontban említett kérelem mellett a szolgáltatónak kérelmet kell benyújtania az általa választott bejelentett szervezethez a szolgáltató által forgalomba hozni vagy üzembe helyezni kívánt, a 3. pontban említett minőségirányítási rendszer hatálya alá tartozó MI-rendszerrel kapcsolatos műszaki dokumentáció értékelése céljából.
4.2. A kérelemnek a következőket kell tartalmaznia:
a) a szolgáltató neve és címe;
b) írásos nyilatkozat arról, hogy a szolgáltató ugyanazt a kérelmet más bejelentett szervezethez nem nyújtotta be;
c) a IV. mellékletben említett műszaki dokumentáció.
4.3. A bejelentett szervezetnek meg kell vizsgálnia a műszaki dokumentációt. Adott esetben és a feladatainak ellátásához szükséges mértékre korlátozva, a bejelentett szervezet számára többek között - adott esetben és biztonsági garanciák mellett - API-kon vagy távoli hozzáférést lehetővé tevő egyéb releváns műszaki megoldásokon és eszközökön keresztül teljes körű hozzáférést kell biztosítani az alkalmazott tanító-, validálási és tesztelő adatkészletekhez.
4.4. A műszaki dokumentáció vizsgálata során a bejelentett szervezet előírhatja, hogy a szolgáltató nyújtson be további bizonyítékokat, vagy végezzen további vizsgálatokat annak érdekében, hogy lehetővé tegye annak megfelelő értékelését, hogy az MI-rendszer megfelel-e a III. fejezet 2. szakaszában meghatározott követelményeknek. Amennyiben a bejelentett szervezet nem elégedett a szolgáltató által elvégzett vizsgálatokkal, a bejelentett szervezetnek adott esetben közvetlenül saját magának kell elvégeznie a megfelelő vizsgálatokat.
4.5. Amennyiben ez szükséges annak értékeléséhez, hogy a nagy kockázatú MI-rendszer megfelel-e a III. fejezet 2. szakaszában meghatározott követelményeknek, miután a megfelelőség ellenőrzésére szolgáló minden egyéb észszerű megoldást kimerítettek, és azok elégtelennek bizonyultak, továbbá indokolással ellátott kérésre a bejelentett szervezet számára hozzáférést kell biztosítani az MI-rendszer tanító- és tanított modelljeihez, ideértve annak releváns paramétereit is. Az ilyen hozzáférésre a szellemi tulajdon és az üzleti titkok védelmére vonatkozó meglévő uniós jog alkalmazandó.
4.6. A bejelentett szervezet határozatáról értesíteni kell a szolgáltatót vagy annak meghatalmazott képviselőjét. Az értesítésnek tartalmaznia kell a műszaki dokumentáció értékelése alapján levont következtetéseket és az indokolással ellátott értékelési határozatot.
Amennyiben az MI-rendszer megfelel a III. fejezet 2. szakaszában foglalt követelményeknek, a bejelentett szervezetnek ki kell állítania a műszaki dokumentáció értékelésére vonatkozó uniós tanúsítványt. A tanúsítványnak tartalmaznia kell a szolgáltató nevét és címét, a vizsgálat következtetéseit, a tanúsítvány érvényességének (esetleges) feltételeit és az MI-rendszer azonosításához szükséges adatokat.
A tanúsítványnak és mellékleteinek tartalmazniuk kell minden olyan lényeges információt, amely lehetővé teszi az MI-rendszer megfelelőségének értékelését, és adott esetben lehetővé teszi az MI-rendszer használat közbeni ellenőrzését.
Amennyiben az MI-rendszer nem felel meg a III. fejezet 2. szakaszában foglalt követelményeknek, a bejelentett szervezetnek meg kell tagadnia a műszaki dokumentáció értékelésére vonatkozó uniós tanúsítvány kiállítását, és az elutasítás részletes indokolásával együtt tájékoztatnia kell erről a kérelmezőt.
Amennyiben az MI-rendszer nem felel meg a tanításhoz használt adatokra vonatkozó követelménynek, az új megfelelőségértékelés iránti kérelem benyújtása előtt újra kell tanítani az MI-rendszert. Ebben az esetben a bejelentett szervezet által hozott, a műszaki dokumentáció értékelésére vonatkozó uniós tanúsítvány kiállítását elutasító, indokolással ellátott értékelési határozatnak konkrét megfontolásokat kell tartalmaznia az MI-rendszer tanításához használt minőségi adatokra, különösen a meg nem felelés okaira vonatkozóan.
4.7. A műszaki dokumentáció értékelésére vonatkozó uniós tanúsítványt kiállító bejelentett szervezet értékelése szükséges az MI-rendszer minden olyan módosításához, amely érintheti az MI-rendszer követelményeknek való megfelelését vagy rendeltetését. A szolgáltatónak tájékoztatnia kell a bejelentett szervezetet azon szándékáról, hogy be kívánja vezetni a fent említett változtatások bármelyikét, vagy arról, ha egyébként tudomást szerez ilyen változtatások bekövetkezéséről. A bejelentett szervezetnek értékelnie kell a tervezett változtatásokat, és döntenie kell arról, hogy a 43. cikk (4) bekezdésének megfelelően szükség van-e új megfelelőségértékelésre, vagy elegendő a jóváhagyást a műszaki dokumentáció értékelésére vonatkozó uniós tanúsítvány kiegészítésével megadni. Utóbbi esetben a bejelentett szervezetnek értékelnie kell a változtatásokat, határozatáról értesítenie kell a szolgáltatót, és amennyiben a változtatásokat jóváhagyja, ki kell állítania a szolgáltató számára a műszaki dokumentáció értékelésére vonatkozó uniós tanúsítvány kiegészítését.
5. A jóváhagyott minőségirányítási rendszer felügyelete.
5.1. A 3. pontban említett bejelentett szervezet által gyakorolt felügyelet célja annak biztosítása, hogy a szolgáltató megfelelően megfeleljen a jóváhagyott minőségirányítási rendszer feltételeinek.
5.2. Értékelés céljából a szolgáltatónak hozzáférést kell biztosítania a bejelentett szervezet számára az MI-rendszerek tervezésének, fejlesztésének és tesztelésének helyszínéhez. A szolgáltatónak továbbá minden szükséges információt meg kell osztania a bejelentett szervezettel.
5.3. A bejelentett szervezetnek időszakos ellenőrzéseket kell végeznie, hogy megbizonyosodjon arról, hogy a szolgáltató fenntartja és alkalmazza-e a minőségirányítási rendszert, továbbá erről ellenőrzési jelentést kell készítenie a szolgáltatónak. Az ilyen ellenőrzések keretében a bejelentett szervezet további vizsgálatokat végezhet azokkal az MI-rendszerekkel kapcsolatban, amelyek tekintetében a műszaki dokumentáció értékelésére vonatkozó uniós tanúsítvány kiállítására került sor.
VIII. MELLÉKLET
A nagy kockázatú mi-rendszerek 49. cikk szerinti nyilvántartásba vételekor benyújtandó információk
A. szakasz - A nagy kockázatú MI-rendszerek szolgáltatói által a 49. cikk (1) bekezdésével összhangban benyújtandó információk
A 49. cikk (1) bekezdésével összhangban nyilvántartásba veendő, nagy kockázatú MI-rendszerek tekintetében a következő információkat kell megadni, és ezt követően naprakészen tartani:
1. a szolgáltató neve, címe és elérhetőségei;
2. amennyiben az információkat a szolgáltató nevében más személy nyújtja be, e személy neve, címe és elérhetősége;
3. adott esetben a meghatalmazott képviselő neve, címe és elérhetőségei;
4. az MI-rendszer kereskedelmi neve, valamint minden olyan további egyértelmű hivatkozás, amely lehetővé teszi az MI-rendszer azonosítását és nyomonkövethetőségét;
5. az MI-rendszer rendeltetésének, valamint az MI-rendszer révén támogatott alkotóelemeknek és funkcióknak az ismertetése;
6. a rendszer által használt információknak (adatok, bemenetek) és a rendszer működési logikájának alapvető és tömör leírása;
7. az MI-rendszer állapota (forgalomba hozott, üzembe helyezett, már nincs forgalomban/nem üzemel, visszahívták);
8. a bejelentett szervezet által kiadott tanúsítvány típusa, száma és lejárati ideje, valamint adott esetben a bejelentett szervezet neve vagy azonosító száma;
9. adott esetben a 8. pontban említett tanúsítvány beszkennelt másolata;
10. azon tagállamok megnevezése, amelyekben az MI-rendszert az Unióban forgalomba hozták, üzembe helyezték vagy elérhetővé tették;
11. a 47. cikkben említett EU-megfelelőségi nyilatkozat másolata;
12. elektronikus használati utasítás; ezt az információt nem kell megadni a bűnüldözés, illetve a migráció, a menekültügy és a határigazgatás területén a III. melléklet 1., 6. és 7. pontjában említett nagy kockázatú MI-rendszerek esetében;
13. további információkhoz vezető webcím (nem kötelező).
B. szakasz - A nagy kockázatú MI-rendszerek szolgáltatói által a 49. cikk (2) bekezdésével összhangban benyújtandó információk
A 49. cikk (2) bekezdésével összhangban nyilvántartásba veendő MI-rendszerek tekintetében a következő információkat kell megadni, és ezt követően naprakészen tartani:
1. a szolgáltató neve, címe és elérhetőségei;
2. amennyiben az információkat a szolgáltató nevében más személy nyújtja be, e személy neve, címe és elérhetősége;
3. adott esetben a meghatalmazott képviselő neve, címe és elérhetőségei;
4. az MI-rendszer kereskedelmi neve, valamint minden olyan további egyértelmű hivatkozás, amely lehetővé teszi az MI-rendszer azonosítását és nyomonkövethetőségét;
5. az MI-rendszer rendeltetésének ismertetése;
6. a 6. cikk (3) bekezdése szerinti azon feltétel vagy feltételek, amely(ek) alapján az MI-rendszer nem minősül nagy kockázatúnak;
7. azon indokok rövid összefoglalása, amelyek alapján az MI-rendszer a 6. cikk (3) bekezdése szerinti eljárást alkalmazva nem minősül nagy kockázatúnak;
8. az MI-rendszer állapota (forgalomba hozott, üzembe helyezett, már nincs forgalomban/nem üzemel, visszahívták);
9. azon tagállamok megnevezése, amelyekben az MI-rendszert az Unióban forgalomba hozták, üzembe helyezték vagy elérhetővé tették.
C. szakasz - A nagy kockázatú MI-rendszerek alkalmazói által a 49. cikk (3) bekezdésével összhangban benyújtandó információk
A 49. cikk (3) bekezdésével összhangban nyilvántartásba veendő, nagy kockázatú MI-rendszerek tekintetében a következő információkat kell megadni, és ezt követően naprakészen tartani:
1. Az alkalmazó neve, címe és elérhetőségei;
2. Az alkalmazó nevében információt benyújtó személy neve, címe és elérhetősége;
3. A szolgáltató által az MI-rendszernek az uniós adatbázisba történő bejegyzésének URL-címe;
4. A 27. cikkel összhangban elvégzett alapvetőjogi hatásvizsgálat megállapításainak összefoglalója;
5. Adott esetben az (EU) 2016/679 rendelet 35. cikkével vagy az (EU) 2016/680 irányelv 27. cikkével összhangban elvégzett adatvédelmi hatásvizsgálat összefoglalója, az e rendelet 26. cikkének (8) bekezdésében meghatározottak szerint.
IX. MELLÉKLET
A III. mellékletben felsorolt nagy kockázatú MI-rendszerek nyilvántartásba vételekor benyújtandó, a 60. cikk szerinti, valós körülmények közötti teszteléssel kapcsolatos információk
A 60. cikkel összhangban nyilvántartásba veendő, valós körülmények közötti tesztelés tekintetében a következő információkat kell megadni, és ezt követően naprakészen tartani:
1. A valós körülmények közötti tesztelés Unió-szerte egységes, egyedi azonosító száma;
2. A valós körülmények közötti tesztelésben részt vevő szolgáltató vagy leendő szolgáltató és alkalmazók neve és elérhetőségei;
3. Az MI-rendszer rövid leírása, rendeltetése és a rendszer azonosításához szükséges egyéb információk;
4. A valós körülmények közötti tesztelésre vonatkozó terv főbb jellemzőinek összefoglalása;
5. A valós körülmények közötti tesztelés felfüggesztésére vagy megszüntetésére vonatkozó információk.
X. MELLÉKLET
A szabadságon, a biztonságon és a jog érvényesülésén alapuló térségben a nagy méretű IT-rendszerekre vonatkozó uniós jogalkotási aktusok
1. Schengeni Információs Rendszer
a) Az Európai Parlament és a Tanács (EU) 2018/1860 rendelete (2018. november 28.) a Schengeni Információs Rendszernek a jogellenesen tartózkodó harmadik országbeli állampolgárok visszaküldése céljából történő használatáról (HL L 312., 2018.12.7., 1. o.).
b) Az Európai Parlament és a Tanács (EU) 2018/1861 rendelete (2018. november 28.) a határforgalom-ellenőrzés terén a Schengeni Információs Rendszer (SIS) létrehozásáról, működéséről és használatáról, a Schengeni Megállapodás végrehajtásáról szóló egyezmény módosításáról, valamint az 1987/2006/EK rendelet módosításáról és hatályon kívül helyezéséről (HL L 312., 2018.12.7., 14. o.).
c) Az Európai Parlament és a Tanács (EU) 2018/1862 rendelete (2018. november 28.) a rendőrségi együttműködés és a büntetőügyekben folytatott igazságügyi együttműködés terén a Schengeni Információs Rendszer (SIS) létrehozásáról, működéséről és használatáról, a 2007/533/IB tanácsi határozat módosításáról és hatályon kívül helyezéséről, valamint az 1986/2006/EK európai parlamenti és tanácsi rendelet és a 2010/261/EU bizottsági határozat hatályon kívül helyezéséről (HL L 312., 2018.12.7., 56. o.).
2. Vízuminformációs Rendszer
a) Az Európai Parlament és a Tanács (EU) 2021/1133 rendelete (2021. július 7.) a 603/2013/EU, az (EU) 2016/794, az (EU) 2018/1862, az (EU) 2019/816 és az (EU) 2019/818 rendeletnek az egyéb uniós információs rendszerekhez a Vízuminformációs Rendszer céljából való hozzáférésre vonatkozó feltételek megállapítása tekintetében történő módosításáról (HL L 248., 2021.7.13., 1. o.).
b) Az Európai Parlament és a Tanács (EU) 2021/1134 rendelete (2021. július 7.) a Vízuminformációs Rendszer megreformálásának céljából a 767/2008/EK, a 810/2009/EK, az (EU) 2016/399, az (EU) 2017/2226, az (EU) 2018/1240, az (EU) 2018/1860, az (EU) 2018/1861, az (EU) 2019/817 és az (EU) 2019/1896 európai parlamenti és tanácsi rendelet módosításáról, valamint a 2004/512/EK és a 2008/633/IB tanácsi határozat hatályon kívül helyezéséről (HL L 248., 2021.7.13., 11. o.).
3. Eurodac
Az Európai Parlament és a Tanács 2024. május 14-i (EU) 2024/1358 rendelete az (EU) 2024/1315 és az (EU) 2024/1350 európai parlamenti és tanácsi rendelet, valamint a 2001/55/EK tanácsi irányelv hatékony alkalmazása érdekében a biometrikus adatok összehasonlítását, és valamely jogellenesen tartózkodó harmadik országbeli állampolgár vagy hontalan személy azonosítását szolgáló Eurodac létrehozásáról, valamint a tagállamok bűnüldöző hatóságai és az Europol által az Eurodac-adatokkal való, bűnüldözési célú összehasonlítások kérelmezéséről, az (EU) 2018/1240 és az (EU) 2019/818 európai parlamenti és tanácsi rendelet módosításáról és az (EU) 603/2013 európai parlamenti és tanácsi rendelet hatályon kívül helyezéséről (HL L, 2024/1358, 2024.5.22., ELI: http://data.europa.eu/eli/reg/2024/1358/oj).
4. Határregisztrációs rendszer
5. Európai Utasinformációs és Engedélyezési Rendszer
a) Az Európai Parlament és a Tanács (EU) 2018/1240 rendelete (2018. szeptember 12.) az Európai Utasinformációs és Engedélyezési Rendszer (ETIAS) létrehozásáról, valamint az 1077/2011/EU rendelet, az 515/2014/EU rendelet, az (EU) 2016/399 rendelet, az (EU) 2016/1624 rendelet és az (EU) 2017/2226 rendelet módosításáról (HL L 236., 2018.9.19., 1. o.).
b) Az Európai Parlament és a Tanács (EU) 2018/1241 rendelete (2018. szeptember 12.) az (EU) 2016/794 rendeletnek az Európai Utasinformációs és Engedélyezési Rendszer (ETIAS) létrehozása céljából történő módosításáról (HL L 236., 2018.9.19., 72. o.).
6. A harmadik országbeli állampolgárokra és hontalan személyekre vonatkozó Európai Bűnügyi Nyilvántartási Információs Rendszer
7. Interoperabilitás
a) Az Európai Parlament és a Tanács (EU) 2019/817 rendelete (2019. május 20.) az uniós információs rendszerek közötti interoperabilitás kereteinek megállapításáról a határok és a vízumügy területén, továbbá a 767/2008/EK, az (EU) 2016/399, az (EU) 2017/2226, az (EU) 2018/1240, az (EU) 2018/1726 és az (EU) 2018/1861 európai parlamenti és tanácsi rendelet, valamint a 2004/512/EK és a 2008/633/IB tanácsi határozat módosításáról (HL L 135., 2019.5.22., 27. o.).
b) Az Európai Parlament és a Tanács (EU) 2019/818 rendelete (2019. május 20.) az uniós információs rendszerek közötti interoperabilitás kereteinek megállapításáról a rendőrségi és igazságügyi együttműködés, a menekültügy és a migráció területén, valamint az (EU) 2018/1726, az (EU) 2018/1862 és az (EU) 2019/816 rendelet módosításáról (HL L 135., 2019.5.22., 85. o.).
XI. MELLÉKLET
Az 53. cikk (1) bekezdésének a) pontjában említett műszaki dokumentáció - műszaki dokumentáció az általános célú MI-modellek szolgáltatói számára
1. szakasz
Az általános célú MI-modellek valamennyi szolgáltatója által nyújtandó információk
Az 53. cikk (1) bekezdésének a) pontjában említett műszaki dokumentáció a modell méretétől és kockázati profiljától függően legalább a következő információkat tartalmazza:
1. Az általános célú MI-modell általános leírása, beleértve a következőket:
a) a modell rendeltetése szerint ellátandó feladatok, valamint azon MI-rendszerek típusa és jellege, amelyekbe integrálható;
b) az elfogadható felhasználásra vonatkozóan alkalmazandó irányelvek;
c) a forgalomba hozatal időpontja és forgalmazási módszerek;
d) az architektúra és a paraméterek száma;
e) a bemenetek és a kimenetek modalitása (pl. szöveg, kép) és formátuma;
f) a licenc.
2. A modellnek az 1. pontban említett elemeinek részletes leírása és a fejlesztési folyamatra vonatkozó releváns információk, ideértve a következő elemeket: Az e) pontot illetően, amennyiben a modell energiafogyasztása ismeretlen, az energiafogyasztás alapulhat a felhasznált számítási erőforrásokra vonatkozó információkon.
a) az általános célú MI-modell MI-rendszerekbe történő integrálásához szükséges műszaki megoldások (pl. használati utasítás, infrastruktúra, eszközök);
b) a modell és a tanítási folyamat - beleértve a tanítómódszereket és -technikákat is - tervezési előírásai, a legfontosabb tervezési döntések, beleértve az indokokat és a feltételezéseket; adott esetben tervezésének megfelelően mit optimalizál a modell és a különböző paraméterek relevanciája;
c) adott esetben a tanításhoz, a teszteléshez és a validáláshoz használt adatokra vonatkozó információk, beleértve az adatok típusát és eredetét, valamint az adatgondozási módszereket (pl. tisztítás, szűrés stb.), az adatpontok száma, azok köre és fő jellemzői; az adatok megszerzésének és kiválasztásának módja, valamint adott esetben minden egyéb, az adatforrások alkalmatlanságának észlelésére irányuló intézkedés és az azonosítható torzítások feltárására irányuló módszerek;
d) a modell tanításához használt számítási erőforrások (pl. lebegőpontos műveletek száma), tanítási idő és a tanítással kapcsolatos egyéb releváns részletek;
e) a modell ismert vagy becsült energiafogyasztása.
2. szakasz
A rendszerszintű kockázatot jelentő általános célú MI-modellek szolgáltatói által rendelkezésre bocsátandó kiegészítő információk
1. Az értékelési stratégiák részletes leírása, ideértve az értékelési eredményeket is, a rendelkezésre álló nyilvános értékelési protokollok és eszközök vagy egyéb értékelési módszerek alapján. Az értékelési stratégiáknak magukban kell foglalniuk az értékelési kritériumokat, a mérőszámokat és a korlátok azonosítására szolgáló módszertant.
2. Adott esetben a belső és/vagy külső támadó szempontú tesztelés (pl. red teaming) céljából bevezetett intézkedések, a modelladaptációk - ideértve az összehangolást és a finomhangolást is - részletes leírása.
3. Adott esetben a rendszer architektúrájának részletes leírása, megmagyarázva, hogy a szoftverösszetevők hogyan épülnek egymásra vagy egymásba, és hogyan integrálódnak a teljes folyamatba.
XII. MELLÉKLET
Az 53. cikk (1) bekezdésének b) pontjában említett átláthatósági információk - a modellt az MI-rendszerükbe integráló downstream szolgáltatók számára általános célú MI-modelleket szolgáltatók műszaki dokumentációja
Az 53. cikk (1) bekezdésének b) pontjában említett információk legalább a következőket tartalmazzák:
1. Az általános célú MI-modell általános leírása, ideértve a következőket:
a) azon feladatok, amelyeket a modell ellátni hivatott, valamint azon MI-rendszerek típusa és jellege, amelyekbe integrálható;
b) az elfogadható felhasználásra vonatkozóan alkalmazandó irányelvek;
c) a forgalomba hozatal időpontja és forgalmazási módszerek;
d) adott esetben az, hogy a modell miként működik együtt olyan hardverrel vagy szoftverrel, amely nem része magának a modellnek, vagy miként használható fel az együttműködésre;
e) adott esetben az általános célú MI-modell használatához kapcsolódó releváns szoftver verziói;
f) az architektúra és a paraméterek száma;
g) a bemenetek és a kimenetek modalitása (pl. szöveg, kép) és formátuma;
h) a modell licence.
2. A modell elemeinek és fejlesztési folyamatának leírása, ideértve a következőket:
a) az általános célú MI-modell MI-rendszerekbe történő integrálásához szükséges műszaki megoldások (pl. használati utasítás, infrastruktúra, eszközök);
b) a bemenetek és a kimenetek modalitásai (pl. szöveg, kép stb.) és formátuma, valamint ezek maximális mérete (pl. a kontextusablak hossza stb.);
c) adott esetben a tanításhoz, a teszteléshez és a validáláshoz használt adatokra vonatkozó információk, beleértve az adatok típusát és eredetét, valamint az adatgondozási módszereket.
XIII. MELLÉKLET
Az 51. cikkben említett, rendszerszintű kockázatot jelentő általános célú MI-modellként való megjelölésre vonatkozó kritériumok
Annak megállapítása céljából, hogy egy általános célú MI-modell az 51. cikk (1) bekezdésének a) pontjában meghatározottakkal egyenértékű képességekkel vagy hatással rendelkezik-e, a Bizottságnak a következő kritériumokat kell figyelembe vennie:
a) a modell paramétereinek száma;
b) az adatkészlet minősége vagy mérete, például tokenekben mérve;
c) a modell tanításához használt számítások mennyisége lebegőpontos műveletekben mérve, vagy olyan egyéb változók kombinációja révén megadva, mint például a tanítás becsült költsége, a tanításhoz szükséges becsült idő vagy a tanításhoz szükséges energiafogyasztás;
d) a modell bemeneti és kimeneti modalitása, így például szövegből szöveg (nagy nyelvi modellek), szövegből kép, multimodalitás, és az egyes modalitások tekintetében a nagy hatású képességek meghatározására vonatkozó, a technika állásának megfelelő küszöbértékek, valamint a bemenetek és kimenetek konkrét típusa (pl. biológiai szekvenciák);
e) a modell képességeire vonatkozó referenciaértékek és értékelések, ideértve a további tanítás nélkül végzett feladatok számának mérlegelését, az új, eltérő feladatok tanulásához való alkalmazkodóképességet, a modell autonómiaszintjét és méretezhetőségét, a rendelkezésére álló eszközöket;
f) a modell az elterjedtsége miatt jelentős hatást gyakorol-e a belső piacra, ami akkor vélelmezhető, ha legalább 10 000, az Unióban letelepedett regisztrált üzleti felhasználó rendelkezésére bocsátották;
g) a regisztrált végfelhasználók száma.
ELI: http://data.europa.eu/eli/reg/2024/1689/oj
ISSN 1977-0731 (electronic edition)
Lábjegyzetek:
[1] A dokumentum eredetije megtekinthető CELEX: 32024R1689 - https://eur-lex.europa.eu/legal-content/HU/ALL/?uri=CELEX:32024R1689&locale=hu
[2] HL C 517., 2021.12.22., 56. o.
[3] HL C 115., 2022.3.11., 5. o.
[4] HL C 97., 2022.2.28., 60. o.
[5] Az Európai Parlament 2024. március 13-i álláspontja (a Hivatalos Lapban még nem tették közzé) és a Tanács 2024. május 21-i határozata.
[6] * Európai Tanács, Az Európai Tanács rendkívüli ülése (2020. október 1-2.) - Következtetések, EUCO 13/20, 2020, 6. o. ** Az Európai Parlament 2020. október 20-i állásfoglalása a Bizottsághoz intézett ajánlásokkal a mesterséges intelligencia, a robotika és a kapcsolódó technológiák etikai szempontjainak keretéről, 2020/2012(INL).
[7] * Az Európai Parlament és a Tanács 765/2008/EK rendelete (2008. július 9.) az akkreditálás előírásainak megállapításáról és a 339/93/EGK rendelet hatályon kívül helyezéséről (HL L 218., 2008.8.13., 30. o.). ** Az Európai Parlament és a Tanács 768/2008/EK határozata (2008. július 9.) a termékek forgalomba hozatalának közös keretrendszeréről, valamint a 93/465/EGK tanácsi határozat hatályon kívül helyezéséről (HL L 218., 2008.8.13., 82. o.). *** Az Európai Parlament és a Tanács (EU) 2019/1020 rendelete (2019. június 20.) a piacfelügyeletről és a termékek megfelelőségéről, valamint a 2004/42/EK irányelv, továbbá a 765/2008/EK és a 305/2011/EU rendelet módosításáról (HL L 169., 2019.6.25., 1. o.). **** A Tanács 85/374/EGK irányelve (1985. július 25.) a hibás termékekért való felelősségre vonatkozó tagállami törvényi, rendeleti és közigazgatási rendelkezések közelítéséről (HL L 210., 1985.8.7., 29. o.).
[8] * Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet) (HL L 119., 2016.5.4., 1. o.). ** Az Európai Parlament és a Tanács (EU) 2018/1725 rendelete (2018. október 23.) a természetes személyeknek a személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek általi kezelése tekintetében való védelméről és az ilyen adatok szabad áramlásáról, valamint a 45/2001/EK rendelet és az 1247/2002/EK határozat hatályon kívül helyezéséről (HL L 295., 2018.11.21., 39. o.). *** Az Európai Parlament és a Tanács (EU) 2016/680 irányelve (2016. április 27.) a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett kezelése tekintetében a természetes személyek védelméről és az ilyen adatok szabad áramlásáról, valamint a 2008/977/IB tanácsi kerethatározat hatályon kívül helyezéséről (HL L 119., 2016.5.4., 89. o.). **** Az Európai Parlament és a Tanács 2002/58/EK irányelve (2002. július 12.) az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről (Elektronikus hírközlési adatvédelmi irányelv) (HL L 201., 2002.7.31., 37. o.).
[9] * Az Európai Parlament és a Tanács (EU) 2022/2065 rendelete (2022. október 19.) a digitális szolgáltatások egységes piacáról és a 2000/31/EK irányelv módosításáról (digitális szolgáltatásokról szóló rendelet) (HL L 277., 2022.10.27., 1. o.).
[10] * Az Európai Parlament és a Tanács (EU) 2019/882 irányelve (2019. április 17.) a termékekre és a szolgáltatásokra vonatkozó akadálymentességi követelményekről (HL L 151., 2019.6.7., 70. o.). ** Az Európai Parlament és a Tanács 2005/29/EK irányelve (2005. május 11.) a belső piacon az üzleti vállalkozások fogyasztókkal szemben folytatott tisztességtelen kereskedelmi gyakorlatairól, valamint a 84/450/EGK tanácsi irányelv, a 97/7/EK, a 98/27/EK és a 2002/65/EK európai parlamenti és tanácsi irányelvek, valamint a 2006/2004/EK európai parlamenti és tanácsi rendelet módosításáról ("Irányelv a tisztességtelen kereskedelmi gyakorlatokról") (HL L 149., 2005.6.11., 22. o.).
[11] * A Tanács 2002/584/IB kerethatározata (2002. június 13.) az európai elfogatóparancsról és a tagállamok közötti átadási eljárásokról (HL L 190., 2002.7.18., 1. o.). ** Az Európai Parlament és a Tanács (EU) 2022/2557 irányelve (2022. december 14.) a kritikus szervezetek rezilienciájáról és a 2008/114/EK tanácsi irányelv hatályon kívül helyezéséről (HL L 333., 2022.12.27., 164. o.).
[12] * HL C 247., 2022.6.29., 1. o. ** Az Európai Parlament és a Tanács (EU) 2017/745 rendelete (2017. április 5.) az orvostechnikai eszközökről, a 2001/83/EK irányelv, a 178/2002/EK rendelet és az 1223/2009/EK rendelet módosításáról, valamint a 90/385/EGK és a 93/42/EGK tanácsi irányelv hatályon kívül helyezéséről (HL L 117., 2017.5.5., 1. o.). *** Az Európai Parlament és a Tanács (EU) 2017/746 rendelete (2017. április 5.) az in vitro diagnosztikai orvostechnikai eszközökről, valamint a 98/79/EK irányelv és a 2010/227/EU bizottsági határozat hatályon kívül helyezéséről (HL L 117., 2017.5.5., 176. o.). **** Az Európai Parlament és a Tanács 2006/42/EK irányelve (2006. május 17.) a gépekről és a 95/16/EK irányelv módosításáról (HL L 157., 2006.6.9., 24. o.).
[13] * Az Európai Parlament és a Tanács 300/2008/EK rendelete (2008. március 11.) a polgári légi közlekedés védelmének közös szabályairól és a 2320/2002/EK rendelet hatályon kívül helyezéséről (HL L 97., 2008.4.9., 72. o.). ** Az Európai Parlament és a Tanács 167/2013/EU rendelete (2013. február 5.) a mezőgazdasági és erdészeti járművek jóváhagyásáról és piacfelügyeletéről (HL L 60., 2013.3.2., 1. o.). *** Az Európai Parlament és a Tanács 168/2013/EU rendelete (2013. január 15.) a két- vagy háromkerekű járművek, valamint a négykerekű motorkerékpárok jóváhagyásáról és piacfelügyeletéről (HL L 60., 2013.3.2., 52. o.). **** Az Európai Parlament és a Tanács 2014/90/EU irányelve (2014. július 23.) a tengerészeti felszerelésekről és a 96/98/EK tanácsi irányelv hatályon kívül helyezéséről (HL L 257., 2014.8.28., 146. o.). ***** Az Európai Parlament és a Tanács (EU) 2016/797 irányelve (2016. május 11.) a vasúti rendszer Európai Unión belüli kölcsönös átjárhatóságáról (HL L 138., 2016.5.26., 44. o.). ****** Az Európai Parlament és a Tanács (EU) 2018/858 rendelete (2018. május 30.) a gépjárművek és pótkocsijaik, valamint az ilyen járművek rendszereinek, alkotóelemeinek és önálló műszaki egységeinek jóváhagyásáról és piacfelügyeletéről, a 715/2007/EK és az 595/2009/EK rendelet módosításáról, valamint a 2007/46/EK irányelv hatályon kívül helyezéséről (HL L 151., 2018.6.14., 1. o.). ******* Az Európai Parlament és a Tanács (EU) 2018/1139 rendelete (2018. július 4.) a polgári légi közlekedés területén alkalmazandó közös szabályokról és az Európai Unió Repülésbiztonsági Ügynökségének létrehozásáról és a 2111/2005/EK, az 1008/2008/EK, a 996/2010/EU, a 376/2014/EU európai parlamenti és tanácsi rendelet és a 2014/30/EU és a 2014/53/EU európai parlamenti és tanácsi irányelv módosításáról, valamint az 552/2004/EK és a 216/2008/EK európai parlamenti és tanácsi rendelet és a 3922/91/EGK tanácsi rendelet hatályon kívül helyezéséről (HL L 212., 2018.8.22., 1. o.). ******** Az Európai Parlament és a Tanács (EU) 2019/2144 rendelete (2019. november 27.) a gépjárműveknek és pótkocsijaiknak, valamint az ilyen járművek rendszereinek, alkotóelemeinek és önálló műszaki egységeinek az általános biztonság, továbbá az utasok és a veszélyeztetett úthasználók védelme tekintetében történő típusjóváhagyásáról, az (EU) 2018/858 európai parlamenti és tanácsi rendelet módosításáról, valamint a 78/2009/EK, a 79/2009/EK és a 661/2009/EK európai parlamenti és tanácsi rendelet és a 631/2009/EK, a 406/2010/EU, a 672/2010/EU, az 1003/2010/EU, az 1005/2010/EU, az 1008/2010/EU, az 1009/2010/EU, a 19/2011/EU, a 109/2011/EU, a 458/2011/EU, a 65/2012/EU, a 130/2012/EU, a 347/2012/EU, a 351/2012/EU, az 1230/2012/EU és az (EU) 2015/166 bizottsági rendelet hatályon kívül helyezéséről (HL L 325., 2019.12.16., 1. o.).
[14] * Az Európai Parlament és a Tanács 810/2009/EK rendelete (2009. július 13.) a Közösségi Vízumkódex létrehozásáról (vízumkódex) (HL L 243., 2009.9.15., 1. o.). ** Az Európai Parlament és a Tanács 2013/32/EU irányelve (2013. június 26.) a nemzetközi védelem megadására és visszavonására vonatkozó közös eljárásokról (HL L 180., 2013.6.29., 60. o.).
[15] * Az Európai Parlament és a Tanács (EU) 2024/900 rendelete 2024. március 13.) a politikai reklám átláthatóságáról és targetálásáról (HL L, 2024/900, 2024.3.20., ELI: http://data.europa.eu/eli/reg/2024/900/oj).
[16] * Az Európai Parlament és a Tanács 2014/31/EU irányelve (2014. február 26.) a nem automatikus működésű mérlegek forgalmazására vonatkozó tagállami jogszabályok harmonizációjáról (HL L 96., 2014.3.29., 107. o.). ** Az Európai Parlament és a Tanács 2014/32/EU irányelve (2014. február 26.) a mérőműszerek forgalmazására vonatkozó tagállami jogszabályok harmonizálásáról (HL L 96., 2014.3.29., 149. o.).
[17] * Az Európai Parlament és a Tanács (EU) 2019/881 rendelete (2019. április 17.) az ENISA-ról (az Európai Uniós Kiberbiztonsági Ügynökségről) és az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról, valamint az 526/2013/EU rendelet hatályon kívül helyezéséről (kiberbiztonsági jogszabály) (HL L 151., 2019.6.7., 15. o.).
[18] * Az Európai Parlament és a Tanács (EU) 2016/2102 irányelve (2016. október 26.) a közszférabeli szervezetek honlapjainak és mobilalkalmazásainak akadálymentesítéséről (HL L 327., 2016.12.2., 1. o.).
[19] * Az Európai Parlament és a Tanács 2002/14/EK irányelve (2002. március 11.) az Európai Közösség munkavállalóinak tájékoztatása és a velük folytatott konzultáció általános keretének létrehozásáról (HL L 80., 2002.3.23., 29. o.).
[20] * Az Európai Parlament és a Tanács (EU) 2019/790 irányelve (2019. április 17.) a digitális egységes piacon a szerzői és szomszédos jogokról, valamint a 96/9/EK és a 2001/29/EK irányelv módosításáról (HL L 130., 2019.5.17., 92. o.).
[21] * Az Európai Parlament és a Tanács 1025/2012/EU rendelete (2012. október 25.) az európai szabványosításról, a 89/686/EGK és a 93/15/EGK tanácsi irányelv, a 94/9/EK, a 94/25/EK, a 95/16/EK, a 97/23/EK, a 98/34/EK, a 2004/22/EK, a 2007/23/EK, a 2009/23/EK és a 2009/105/EK európai parlamenti és tanácsi irányelv módosításáról, valamint a 87/95/EGK tanácsi határozat és az 1673/2006/EK európai parlamenti és tanácsi határozat hatályon kívül helyezéséről (HL L 316., 2012.11.14., 12. o.).
[22] * Az Európai Parlament és a Tanács (EU) 2022/868 rendelete (2022. május 30.) az európai adatkormányzásról és az (EU) 2018/1724 rendelet módosításáról (adatkormányzási rendelet) (HL L 152., 2022.6.3., 1. o.). ** Az Európai Parlament és a Tanács (EU) 2023/2854 rendelete (2023. december 13.) a méltányos adathozzáférésre és -felhasználásra vonatkozó harmonizált szabályokról, valamint az (EU) 2017/2394 rendelet és az (EU) 2020/1828 irányelv módosításáról (adatrendelet) (HL L, 2023/2854, 22.12.2023, ELI: http://data.europa.eu/eli/reg/2023/2854/oj).
[23] * A Bizottság ajánlása (2003. május 6.) a mikro-, kis- és középvállalkozások meghatározásáról (HL L 124., 2003.5.20., 36. o.).
[24] * A Bizottság határozata (2024. január 24.) a mesterséges intelligenciával foglalkozó európai hivatal létrehozásáról (C/2024/1459).
[25] * Az Európai Parlament és a Tanács 575/2013/EU rendelete (2013. június 26.) a hitelintézetekre és befektetési vállalkozásokra vonatkozó prudenciális követelményekről és a 648/2012/EU rendelet módosításáról (HL L 176., 2013.6.27., 1. o.). ** Az Európai Parlament és a Tanács 2008/48/EK irányelve (2008. április 23.) a fogyasztói hitelmegállapodásokról és a 87/102/EGK tanácsi irányelv hatályon kívül helyezéséről (HL L 133., 2008.5.22., 66. o.). *** Az Európai Parlament és a Tanács 2009/138/EK irányelve (2009. november 25.) a biztosítási és viszontbiztosítási üzleti tevékenység megkezdéséről és gyakorlásáról (Szolvencia II) (HL L 335., 2009.12.17., 1. o.). **** Az Európai Parlament és a Tanács 2013/36/EU irányelve (2013. június 26.) a hitelintézetek tevékenységéhez való hozzáférésről és a hitelintézetek és befektetési vállalkozások prudenciális felügyeletéről, a 2002/87/EK irányelv módosításáról, a 2006/48/EK és a 2006/49/EK irányelv hatályon kívül helyezéséről (HL L 176., 2013.6.27., 338. o.). ***** Az Európai Parlament és a Tanács 2014/17/EU irányelve (2014. február 4.) a lakóingatlanokhoz kapcsolódó fogyasztói hitelmegállapodásokról, valamint a 2008/48/EK és a 2013/36/EU irányelv és az 1093/2010/EU rendelet módosításáról (HL L 60., 2014.2.28., 34. o.). ****** Az Európai Parlament és a Tanács (EU) 2016/97 irányelve (2016. január 20.) a biztosítási értékesítésről (HL L 26., 2016.2.2., 19. o.). ******* A Tanács 1024/2013/EU rendelete (2013. október 15.) az Európai Központi Banknak a hitelintézetek prudenciális felügyeletére vonatkozó politikákkal kapcsolatos külön feladatokkal történő megbízásáról (HL L 287., 2013.10.29., 63. o.).
[26] * Az Európai Parlament és a Tanács (EU) 2023/988 rendelete (2023. május 10.) az általános termékbiztonságról, az 1025/2012/EU európai parlamenti és tanácsi rendelet és az (EU) 2020/1828 európai parlamenti és tanácsi irányelv módosításáról, valamint a 2001/95/EK európai parlamenti és tanácsi irányelv és a 87/357/EGK tanácsi irányelv hatályon kívül helyezéséről (HL L 135., 2023.5.23., 1. o.).
[27] * Az Európai Parlament és a Tanács (EU) 2019/1937 irányelve (2019. október 23.) az uniós jog megsértését bejelentő személyek védelméről (HL L 305., 2019.11.26., 17. o.).
[28] * HL L 123., 2016.5.12., 1. o.
[29] * Az Európai Parlament és a Tanács 182/2011/EU rendelete (2011. február 16.) a Bizottság végrehajtási hatásköreinek gyakorlására vonatkozó tagállami ellenőrzési mechanizmusok szabályainak és általános elveinek megállapításáról (HL L 55., 2011.2.28., 13. o).
[30] * Az Európai Parlament és a Tanács (EU) 2016/943 irányelve (2016. június 8.) a nem nyilvános know-how és üzleti információk (üzleti titkok) jogosulatlan megszerzésével, hasznosításával és felfedésével szembeni védelemről (HL L 157., 2016.6.15., 1. o.).
[31] * Az Európai Parlament és a Tanács (EU) 2020/1828 irányelve (2020. november 25.) a fogyasztók kollektív érdekeinek védelmére irányuló képviseleti keresetekről és a 2009/22/EK irányelv hatályon kívül helyezéséről (HL L 409., 2020.12.4., 1. o.).