.png)
Organisaation on varmistettava, että kaikilla henkilöstön jäsenillä ja asiaankuuluvilla kolmansilla osapuolilla, jotka kehittävät, ottavat käyttöön, käyttävät tekoälyjärjestelmiä tai ovat vuorovaikutuksessa niiden kanssa, on tarvittavat tiedot, taidot ja tietoisuus, jotta he voivat toimia turvallisesti, eettisesti ja sovellettavien lakien ja standardien mukaisesti.
Koulutuksessa olisi keskityttävä kunkin roolin kannalta olennaisimpiin aloihin. Tekoälyn käytöstä olisi järjestettävä erillistä koulutusta yleiselle ja tekniselle henkilöstölle. Koulutuksen laajuus ja koulutusmenettely olisi dokumentoitava.
Organisaation ylimmän johdon ja riskienhallintajärjestelmästä vastaavien henkilöiden on osallistuttava asianmukaiseen tietoturvakoulutukseen. Koulutuksella varmistetaan, että heidän taitonsa ja tietonsa riittävät riskien määrittämiseen, kyberturvallisuuden hallintakäytäntöjen arviointiin sekä prosessin yleiseen hallintaan ja johtamiseen.
Johdon olisi osallistuttava koulutukseen vähintään kahden vuoden välein, jotta heidän tietonsa ja taitonsa pysyvät ajan tasalla ja ajan tasalla. Koulutuksen olisi vastattava organisaation tarpeita ja oltava organisaation kyberturvallisuuspolitiikkojen mukaista.
Organisaation henkilöstölle järjestämistä tekoälyn koulutustilaisuuksista pidetään kirjaa. Lokia voidaan käyttää osoittamaan, millaisia erityisiä investointeja organisaatio on tehnyt henkilöstön asiantuntemuksen lisäämiseksi tekoälyjärjestelmien käytössä ja kehittämisessä.
Kunkin koulutuksen osalta dokumentaation tulisi sisältää:
Organisaation olisi nimettävä henkilöstö seuraamaan tekoälyjärjestelmien luokitusten mahdollisia muutoksia. Näin varmistetaan, että luokitusmuutokset voidaan tehdä viipymättä.
Organisaation on varmistettava, että sen suuren riskin tekoälyjärjestelmiin sovelletaan vaadittua vaatimustenmukaisuuden arviointimenettelyä ennen niiden saattamista markkinoille. Tähän prosessiin kuuluu EU:n vaatimustenmukaisuusvakuutuksen laatiminen ja järjestelmän rekisteröinti EU:n julkiseen tietokantaan. Nämä vaiheet ovat välttämättömiä, jotta asetuksen noudattaminen voidaan osoittaa virallisesti.
Organisaation olisi laadittava ja ylläpidettävä ajantasaista teknistä dokumentaatiota suuren riskin tekoälyjärjestelmistään. Asiakirjojen on oltava riittävän yksityiskohtaisia, jotta viranomaiset voivat arvioida, onko järjestelmä asetuksen mukainen. Siinä olisi kuvattava järjestelmän yleiset ominaisuudet, tarkoitus, kehitysprosessi ja se, miten riskinhallintaa on sovellettu.
Organisaation olisi otettava käyttöön markkinoille saattamisen jälkeinen seurantajärjestelmä suuren riskin tekoälyjärjestelmille. Käytössä on oltava prosessi tarvittavien korjaavien toimien toteuttamiseksi, jos järjestelmän todetaan olevan vaatimustenvastainen. Tähän kuuluu jakelijoille, maahantuojille, käyttäjille ja asianomaisille viranomaisille tiedottaminen vaatimustenvastaisuudesta ja toteutetuista korjaavista toimenpiteistä.
Jos organisaatio on rahoituslaitos, johon sovelletaan EU:n rahoituspalvelulainsäädännön mukaisia sisäisiä hallintovaatimuksia, näiden hallintovaatimusten noudattaminen täyttää 17 artiklan mukaisen velvoitteen ottaa käyttöön laadunhallintajärjestelmä, lukuun ottamatta g, h ja i alakohtaa.
Organisaation olisi yksilöitävä ja dokumentoitava sisäiset hallintojärjestelyt, prosessit ja valvontatoimet, jotka vastaavat sovellettavia laadunhallintajärjestelmän vaatimuksia. Näiden hallintoa koskevien vaatimusten ja 17 artiklan mukaisten velvoitteiden välillä olisi säilytettävä selkeä yhteys.
Edellä 17 artiklan 1 kohdan g, h ja i alakohdassa tarkoitettuja näkökohtia olisi tarvittaessa käsiteltävä erikseen.
Myös kaikki 40 artiklassa tarkoitetut asiaa koskevat yhdenmukaistetut standardit olisi otettava huomioon. Se, miten tällaiset standardit on otettu huomioon, olisi dokumentoitava, jotta voidaan osoittaa, että sisäinen hallinto- ja ohjausjärjestelmä täyttää sovellettavat vaatimukset.
Organisaation on laadittava dokumentoitu prosessi, jolla se täyttää velvollisuutensa suuren riskin tekoälyjärjestelmien jakelijana. Prosessin olisi katettava jakelijan vastuulla olevan järjestelmän koko elinkaari.
Prosessin tulisi sisältää menettelyt, jotka koskevat
Organisaation olisi määriteltävä ja otettava käyttöön prosessi käyttöönotettujen suuren riskin tekoälyjärjestelmien käyttöä varten. Prosessilla on varmistettava, että järjestelmää käytetään toimittajan ohjeiden mukaisesti. Siinä olisi myös määriteltävä inhimillisen valvonnan suorittamiseen nimettyjen henkilöiden roolit, pätevyydet ja valtuudet. Jos organisaatio valvoo syöttötietoja, prosessiin on sisällyttävä toimenpiteitä, joilla varmistetaan, että tiedot ovat merkityksellisiä ja edustavia järjestelmän aiotun tarkoituksen kannalta.
Organisaation olisi laadittava ja dokumentoitava prosessi, jolla seurataan kaikkien käytössä olevien suuren riskin tekoälyjärjestelmien toimintaa palveluntarjoajan käyttöohjeiden perusteella. Prosessissa olisi määriteltävä vaiheet mahdollisten riskien tai vakavien vaaratilanteiden tunnistamiseksi ja niihin reagoimiseksi. Menettelyn olisi sisällettävä toimet, joilla järjestelmän käyttö keskeytetään ja joilla asiasta ilmoitetaan palveluntarjoajalle, jakelijalle ja asiaankuuluville viranomaisille ilman aiheetonta viivytystä.
Käyttöön otettujen suurenriskin tekoälyjärjestelmien jatkuvaa seurantaa varten olisi määriteltävä selkeät vastuualueet. Nimetyt henkilöt tai roolit on saatettava tietoisiksi velvollisuuksistaan, joihin kuuluu palveluntarjoajan käyttöohjeiden noudattaminen ja sisäisten menettelyjen noudattaminen riskien ja vaaratilanteiden ilmoittamiseksi.
Arkaluonteiset operatiiviset tiedot tapauksissa, joissa organisaatio on lainvalvontaviranomainen, eivät kuulu näiden velvoitteiden piiriin.
Organisaation olisi pidettävä kirjaa valvontatoimista kunkin käyttöönotetun suuren riskin tekoälyjärjestelmän osalta. Lokiin olisi kirjattava säännölliset toiminnalliset tarkastukset, havaitut riskit tai vaaratilanteet sekä kaikki toteutetut vastatoimet, mukaan lukien järjestelmän keskeyttäminen ja ilmoitukset asianomaisille osapuolille. Nämä kirjaukset toimivat todisteena valvontavelvoitteiden noudattamisesta.
Suuren riskin tekoälyjärjestelmien käyttöönottajien olisi määriteltävä ja dokumentoitava käytäntö, joka koskee suuren riskin tekoälyjärjestelmien automaattisesti tuottamien lokien säilytysaikoja. Säilytysajan on oltava sopiva järjestelmän käyttötarkoitukseen nähden, ja sen on kestettävä vähintään kuusi kuukautta, ellei muissa sovellettavissa laeissa vaadita muuta aikaa. Tällä käytännöllä varmistetaan, että lokit ovat tarvittaessa käytettävissä tarkastusta ja vaaratilanteiden tutkintaa varten.
Politiikassa olisi määriteltävä ja dokumentoitava prosessi, jolla hallinnoidaan näiden järjestelmien lokien säilyttämistä, jotta voidaan varmistaa, että lokit säilytetään teknisesti määritellyn säilyttämiskäytännön mukaisesti vähintään kuusi kuukautta tai muiden säädösten edellyttämällä tavalla. Prosessin olisi katettava, miten lokit kerätään, säilytetään turvallisesti ja hävitetään säilytysajan jälkeen.
Organisaation on arvioitava virallisesti tekoälyjärjestelmiensä vaikutukset yksilöihin, ryhmiin ja yhteiskuntaan ennen käyttöönottoa. Tämä on erityisen tärkeää julkisille elimille, julkisten palvelujen tarjoajille ja tekoälyjärjestelmien käyttöönottajille työllisyyden ja luoton arvioinnissa.
Arvioinnin olisi sisällettävä seuraavat seikat:
Arviointia olisi päivitettävä, jos järjestelmän keskeiset osat muuttuvat käytön aikana. Sen olisi tarvittaessa täydennettävä olemassa olevia tietosuojaa koskevia vaikutustenarviointeja (DPIA).
Organisaatio on määritellyt menettelyt tietoturvariskien arvioimiseksi ja käsittelemiseksi. Menettelyihin sisältyy ainakin:
Tehtävän omistaja tarkistaa säännöllisesti, että menettely on selkeä ja tuottaa johdonmukaisia tuloksia.
Toteuttaessaan tekoälyjärjestelmien riskinhallintatoimenpiteitä organisaation on tunnistettava riskit, jotka vaativat hoitoa, ja määriteltävä niille hoitosuunnitelmat. Organisaatio on määritellyt, miten säännöllisesti tekoälyriskien hallintaan kokonaisuutena määriteltyjä hoitosuunnitelmia arvioidaan sekä niiden suhteellisuutta riskinarviointiin (riskin vakavuus ja todennäköisyys).
Tässä prosessissa olisi otettava huomioon erilaiset kontrollit ja vaatimustenmukaisuusvaatimukset, kuten tietojen laatu, avoimuus ja inhimillinen valvonta, jotka ovat vuorovaikutuksessa keskenään. Yhdistetyillä toimenpiteillä olisi varmistettava, että riskit minimoidaan ja tasapainotetaan tehokkaasti.
Organisaation on otettava käyttöön prosessi, jolla määritetään, onko suuren riskin tekoälyjärjestelmän kokonaisjäännösriski hyväksyttävä. Tässä yhteydessä tarkastellaan kaikkien kuhunkin vaaraan liittyvien yksittäisten jäännösriskien yhteisvaikutusta. Lopullinen arvio riskin hyväksyttävyydestä on dokumentoitava virallisesti ennen järjestelmän markkinoille saattamista tai käyttöönottoa.
Organisaation olisi laadittava ja dokumentoitava prosessi riskien poistamiseksi tai vähentämiseksi suuren riskin tekoälyjärjestelmien suunnittelun ja kehittämisen avulla. Prosessin avulla olisi varmistettava, että riskit otetaan huomioon siinä määrin kuin se on teknisesti mahdollista. Tekoälyriskien vähentämiseen tähtäävissä suunnitteluvalinnoissa on otettava huomioon järjestelmän käyttöönottajan odotettavissa oleva tekninen tietämys, kokemus ja järjestelmän aiottu käyttöyhteys.
Jos tunnistettuja riskejä ei voida poistaa suuririskisen tekoälyjärjestelmän suunnittelun ja kehittämisen avulla, olisi toteutettava asianmukaisia lieventämis- ja valvontatoimenpiteitä. Näiden valvontatoimien valinta ja toteuttaminen on dokumentoitava osana riskinhallintakansiota.
Organisaation olisi otettava käyttöön ja ylläpidettävä testausprosessia suuren riskin tekoälyjärjestelmille. Prosessilla varmistetaan, että testausta suoritetaan asianmukaisin väliajoin koko kehittämisen elinkaaren ajan ja että se saatetaan päätökseen ennen järjestelmän markkinoille saattamista tai käyttöönottoa. Kaikki testaustoimet ja niiden tulokset on dokumentoitava, jotta voidaan osoittaa vaatimustenmukaisuus ja järjestelmän suorituskyky suhteessa määriteltyihin mittareihin.
Organisaation olisi ylläpidettävä kattavaa dokumentaatiota tekoälyjärjestelmiensä suunnittelu- ja kehitysprosesseista. Tässä dokumentaatiossa olisi esitettävä selkeästi tekoälyjärjestelmän tukemat strategiset tavoitteet, asetetut vaatimukset (sekä toiminnalliset että muut kuin toiminnalliset), suunnitteluvalinnat ja suunnittelussa käytetyt erityiskriteerit. Asiakirjoista olisi myös käytävä ilmi, miten tekoälyjärjestelmän suunnittelu ja kehittäminen vastaavat näitä määriteltyjä tavoitteita, vaatimuksia ja kriteerejä.
Organisaation on varmistettava, että sen suuren riskin tekoälyjärjestelmät on suunniteltu tallentamaan tapahtumia (lokit) automaattisesti koko niiden käyttöiän ajan. Nämä lokit ovat ratkaisevan tärkeitä jäljitettävyyden, seurannan ja mahdollisten riskien tai merkittävien muutostarpeiden tunnistamisen kannalta.
Lokitiedostoihin olisi kirjattava tapahtumia, jotka helpottavat markkinoille saattamisen jälkeistä seurantaa ja varmistavat, että järjestelmä toimii tarkoitetulla tavalla. Tietyissä järjestelmissä, kuten biometriseen tunnistamiseen tarkoitetuissa järjestelmissä, lokitiedostoihin on kirjattava myös yksityiskohtia, kuten käyttöjakso, käytetty viitetietokanta, syötetyt tiedot, jotka aiheuttivat vastaavuuden, ja tulokset tarkistaneen henkilön henkilöllisyys.
Organisaation olisi määriteltävä ja dokumentoitava vaadittava pätevyys, koulutus, valtuudet ja tuki henkilöille, jotka on nimetty tekoälyjärjestelmien inhimilliseen valvontaan. Tähän sisältyy prosessien luominen seuraaviin tarkoituksiin:
Näiden toimenpiteiden jatkuvan tehokkuuden varmistamiseksi olisi suoritettava säännöllisiä tarkistuksia.
Organisaation olisi laadittava ja pantava täytäntöön teknisiä toimenpiteitä, joilla varmistetaan, että sen suuren riskin tekoälyjärjestelmät ovat vastustuskykyisiä manipulointiyrityksiä vastaan. Toimenpiteiden olisi oltava asianmukaisia tunnistettujen riskien kannalta, ja niiden olisi kohdistuttava tekoälyyn liittyviin haavoittuvuuksiin.
Näihin kuuluvat toimenpiteet, joilla estetään, havaitaan ja vastataan hyökkäyksiin, joita ovat mm:
Organisaation on laadittava ja ylläpidettävä suunnitelma, jonka avulla se voi reagoida ja ratkaista suuren riskin tekoälyjärjestelmiinsä kohdistuvat havaitut kyberturvallisuushyökkäykset. Suunnitelmassa olisi määriteltävä menettelyt hyökkäyksen rajoittamiseksi, sen vaikutusten hallitsemiseksi ja sen taustalla olevan haavoittuvuuden poistamiseksi. Se voisi esimerkiksi sisältää vaiheet, joilla vaarantunut järjestelmä eristetään, palataan aiempaan turvalliseen malliversioon ja käynnistetään prosessi mallin kouluttamiseksi uudelleen puhtailla tiedoilla.
Organisaation olisi laadittava ja noudatettava todentamisprosessia kaikkien maahantuomiensa suuren riskin tekoälyjärjestelmien osalta ennen niiden markkinoille saattamista. Tällä prosessilla varmistetaan, että järjestelmän toimittaja on täyttänyt velvollisuutensa. Todentamisessa olisi vahvistettava, että
Organisaation olisi myös lisättävä omat yhteystietonsa järjestelmään, sen pakkaukseen tai asiakirjoihin.
Organisaation on määriteltävä prosessi, jolla käsitellään maahantuotuja suuren riskin tekoälyjärjestelmiä, joiden epäillään olevan vaatimustenvastaisia tai joissa on väärennettyjä asiakirjoja. Prosessin on estettävä järjestelmän markkinoille saattaminen, kunnes se on saatettu vaatimusten mukaiseksi. Jos järjestelmä aiheuttaa riskin, menettelyyn olisi sisällyttävä vaiheet, joiden mukaisesti asiasta ilmoitetaan toimittajalle, tämän edustajalle ja markkinavalvontaviranomaisille. Organisaation on myös varmistettava, että varastointi- ja kuljetusolosuhteet eivät vaaranna järjestelmän vaatimustenmukaisuutta.
Sisäistä valvontamenettelyä käytettäessä organisaation olisi tarkistettava, että sen laadunhallintajärjestelmä on vaatimustenmukainen ja että tekoälyjärjestelmän teknisestä dokumentaatiosta käy ilmi, että se on kaikkien vaatimusten mukainen. Tämän jälkeen organisaation olisi laadittava kirjallinen EU-vaatimustenmukaisuusvakuutus ja kiinnitettävä järjestelmään CE-merkintä.
Suuren riskin tekoälyjärjestelmien tarjoajien on laadittava ja dokumentoitava sisäinen valvontamenettely, jolla arvioidaan suuren riskin tekoälyjärjestelmien vaatimustenmukaisuutta. Menettelyllä varmistetaan, että tekoälyjärjestelmä täyttää sääntelyvaatimukset ennen sen markkinoille saattamista. Arvioinnin olisi katettava kaikki asiaankuuluvat velvoitteet, kuten riskinhallintajärjestelmä, tiedonhallinta, tekninen dokumentaatio ja avoimuustoimenpiteet seuraavilla aloilla:
Organisaation olisi laadittava dokumentoitu prosessi, jolla arvioidaan suuririskisen tekoälyjärjestelmän alkuperäisen vaatimustenmukaisuuden arvioinnin jälkeen tehtyjä muutoksia. Prosessissa olisi erotettava toisistaan merkittävät muutokset, jotka edellyttävät uutta arviointia, ja muutokset, jotka oli ennalta määritelty ja dokumentoitu alkuperäisen arvioinnin aikana. Olennaisen muutoksen tunnistamiskriteerit olisi määriteltävä selkeästi.
Organisaation olisi laadittava toimintatapa, jossa selvitetään vastuualueet, jotka liittyvät CE-merkinnän soveltamiseen suuren riskin tekoälyjärjestelmiin. Toimintaperiaatteessa olisi todettava, että merkin kiinnittäminen merkitsee, että palveluntarjoaja antaa vaatimustenmukaisuusvakuutuksen ja ottaa vastuun. Politiikassa olisi myös kiellettävä sellaisten muiden merkintöjen käyttö, jotka voivat peittää CE-merkinnän tai jotka voidaan sekoittaa siihen.
Toimintaperiaatteissa olisi vahvistettava ja dokumentoitava menettely, jolla koordinoidaan vaatimustenmukaisuuden arvioinnista vastaavan ilmoitetun laitoksen kanssa. Prosessin avulla olisi varmistettava, että ilmoitetun laitoksen tunnusnumero kiinnitetään suurenriskin tekoälyjärjestelmään, sen pakkaukseen tai asiakirjoihin joko laitoksen itsensä toimesta tai täsmällisesti sen ohjeiden mukaisesti.
Organisaation olisi laadittava prosessi sellaisten vakavien vaaratilanteiden käsittelyä varten, joita esiintyy suuririskisten tekoälyjärjestelmien reaalimaailman testauksen aikana. Prosessissa olisi määriteltävä vaiheet raportointia, lieventämistä ja mahdollista takaisinvetoa varten.
Organisaation olisi luotava prosessi, jolla varmistetaan, että kaikki tekoälyjärjestelmät rekisteröidään vaaditulla tavalla ennen niiden markkinoille saattamista tai käyttöönottoa. Prosessissa on määriteltävä oikea rekisteröintielin, joko EU:n laajuinen tietokanta tai kansallinen viranomainen, sen mukaan, mikä on järjestelmän erityinen luokitus tekoälysäädöksen nojalla.
Organisaation on käytettävä, ylläpidettävä ja jatkuvasti kehitettävä laadunhallintajärjestelmää. Hallintajärjestelmän rajaukset ja soveltamisala, sisältö, rooli, täytäntöönpanotiedot ja muut tarvittavat hallintajärjestelmään liittyvät tiedot on dokumentoitava selkeästi.
Organisaation on luotava prosessi tekoälyriskien arvioimiseksi ja ylläpidettävä sitä. Prosessia on ohjattava organisaation tekoälypolitiikalla ja tekoälytavoitteilla, jotta varmistetaan, että myöhemmät arvioinnit tuottavat johdonmukaisia, päteviä ja vertailukelpoisia tuloksia.
Prosessissa olisi tunnistettava riskit, jotka voivat joko edistää tai estää organisaation tekoälytavoitteiden saavuttamista. Riskianalyysiin olisi sisällyttävä organisaatioon, ihmisiin ja yhteiskuntaan kohdistuvien mahdollisten seurausten arviointi, näiden riskien todennäköisyyden arviointi mahdollisuuksien mukaan ja näiden riskien tasojen määrittäminen.
Prosessiin olisi myös sisällyttävä tekoälyriskejä koskeva arviointi vertaamalla analyysin tuloksia määriteltyihin riskikriteereihin ja asettamalla tunnistetut riskit tärkeysjärjestykseen myöhempää käsittelyä varten. Tekoälyriskien arviointiprosessista ja sen tuloksista olisi säilytettävä dokumentoitua tietoa.
Organisaation on osoitettava, että se noudattaa tekoälylain yleiskäyttöisiä tekoälymalleja koskevia vaatimuksia. Yksi tapa tehdä tämä on noudattaa hyväksyttyjä käytännesääntöjä, kunnes yhdenmukaistetut standardit ovat saatavilla. Organisaation olisi tunnistettava asianmukainen käytännesääntö, pantava sen vaatimukset täytäntöön ja dokumentoitava noudattamisprosessi vaatimustenmukaisuuden varmistamiseksi ja osoittamiseksi. Käytännesääntöjen yleisiä teemoja voivat olla esimerkiksi seuraavat:
EU:n ulkopuolelle sijoittautuneiden palveluntarjoajien olisi nimettävä unionissa toimiva valtuutettu edustaja kirjallisella toimeksiannolla. Valtuutuksen on annettava edustajalle valtuudet toimia palveluntarjoajan puolesta ja varmistaa, että tekoälysäädöstä noudatetaan.
GPAI-mallien tarjoajien ja niiden organisaatioiden olisi varmistettava, että niiden valtuutetun edustajan kirjallisessa toimeksiannossa annetaan nimenomaisesti valtuudet, joiden nojalla tekoälyvirasto tai toimivaltaiset viranomaiset voivat kääntyä heidän puoleensa kaikissa sääntöjen noudattamista koskevissa asioissa. Valtuutuksen olisi myös annettava edustajalle tehtäväksi toimittaa pyynnöstä jäljennös valtuutuksesta tekoälyvirastolle.
Toimeksiannossa olisi täsmennettävä, että edustaja on vastuussa seuraavista asioista:
Organisaation olisi laadittava prosessi, jolla hallitaan sen yleiskäyttöisiin tekoälymalleihin liittyviä systeemisiä riskejä. Tähän prosessiin olisi sisällyttävä:
Organisaation olisi laadittava ja dokumentoitava virallinen prosessi komission ja kansallisten toimivaltaisten viranomaisten pyyntöjen käsittelyä varten. Näin varmistetaan oikea-aikainen ja asianmukainen yhteistyö säädösten edellyttämällä tavalla.
Prosessin olisi sisällettävä seuraavat seikat:
Yleiskäyttöisten tekoälymallien (GPAI) tarjoajien olisi luotava ja dokumentoitava prosessit, joilla varmistetaan, että valtuutetulla edustajalla on tarvittavat tiedot, pääsy ja resurssit, jotta hän voi täyttää valtuutuksen mukaiset tehtävänsä. Tähän kuuluu teknisten asiakirjojen oikea-aikainen saatavuus ja yhteistyö edustajan tietopyyntöjen kanssa, jotka koskevat tekoälysäädöksen noudattamisen osoittamiseksi tarvittavia tietoja.
Organisaation on varmistettava, että suuren riskin tekoälyjärjestelmiä valvovat luonnolliset henkilöt ovat tietoisia mahdollisesta automatisointivinoumasta eli taipumuksesta luottaa liikaa tekoälyn tuottamiin tuloksiin. Tähän kuuluu myös erityiskoulutuksen ja ohjeistuksen antaminen siitä, miten tekoälyjärjestelmistä saatuja tietoja ja suosituksia voidaan arvioida kriittisesti, erityisesti jos niitä käytetään ihmisten päätöksentekoon. Olisi otettava käyttöön toimenpiteitä, jotka auttavat ihmisvalvojia havaitsemaan ja lieventämään tätä ennakkoluuloa.
Tekoälyn lukutaitoa koskevat ohjeet on määritelty työntekijän tehtävän yhteydessä. Organisaatio on tunnistanut erillisiä ohjeita vaativat yksiköt ja roolit ja laatii niille omat yksityiskohtaiset ohjeensa.
Esimerkkejä yksiköistä, jotka voivat vaatia omia ohjeita, ovat esimerkiksi asiakaspalvelu, IT ja HR. Esimerkkejä työrooleista, jotka vaativat omat ohjeistuksensa, ovat järjestelmänvalvojat ja etätyöntekijät.
The organization should establish and maintain a documented assessment procedure to determine whether it qualifies as a provider of a high-risk AI system under Article 25 of the AI Act. This assessment should be conducted whenever the organization places its name or trademark on a high-risk AI system developed by another entity, performs a substantial modification to an existing high-risk AI system that remains high-risk pursuant to Article 6, or modifies the intended purpose of an AI system in a manner that results in its classification as high-risk.
The procedure should also cover cases where the organization manufactures a product incorporating a high-risk AI system that qualifies as a safety component under EU harmonisation legislation listed in Section A of Annex I.
In such cases, the product manufacturer should be treated as the provider where:
Where provider status is triggered, the organization should implement the full set of provider obligations under Article 16, including conformity assessment, technical documentation, risk management, and post-market monitoring. The allocation and transfer of responsibilities should be formally documented whenever such a change occurs.
If the organization becomes the provider of a high-risk AI system previously placed on the market, it should establish cooperation arrangements with the initial provider to obtain all necessary technical documentation, technical access, and other reasonably required assistance to ensure compliance with the Regulation. It should be verified whether the initial provider has explicitly restricted modification of the AI system into a high-risk system. All determinations, contractual arrangements, and supporting evidence should be retained.
Tekoälyjärjestelmien tarjoajien ja käyttöönottajien tai heidän organisaatioiden olisi määriteltävä ja dokumentoitava tekoälyjärjestelmiensä kehittämistä ja käyttöönottoa koskevat käytännesäännöt. Säännöstö voidaan laatia sisäisesti tai hyväksyä olemassa oleva alan säännöstö. Käytännesäännöissä olisi esitettävä organisaation sitoutuminen tekoälyn vastuulliseen käyttöön. Asiaan liittyviä teemoja voivat olla esimerkiksi
Ulkopuolisten sidosryhmien, kuten kansalaisyhteiskunnan organisaatioiden ja korkeakoulujen, kuuleminen on mahdollisuuksien mukaan sisällytettävä käytännesääntöjen laatimisprosessiin.
Organisaation olisi määriteltävä prosessi niitä tilanteita varten, joissa se toimii suurriskisen tekoälyjärjestelmän palveluntarjoajan roolissa. Tämä koskee esimerkiksi tapauksia, joissa organisaatio nimeää olemassa olevan järjestelmän uudelleen omalla nimellään, muuttaa olennaisesti suuririskistä järjestelmää tai muuttaa järjestelmää siten, että siitä tulee suurenriskin järjestelmä. Prosessissa on varmistettava, että organisaatio täyttää tällöin kaikki palveluntarjoajalta vaadittavat oikeudelliset velvoitteet.
Organisaation olisi varmistettava, että se säilyttää suuririskisten tekoälyjärjestelmiensä automaattisesti tuottamat lokitiedot. Näitä lokitietoja on säilytettävä järjestelmän käyttötarkoitusta vastaavan ajan, jotta toimintaa voidaan seurata ja jotta onnettomuuden jälkeinen tutkinta on mahdollista.
Organisaation on määriteltävä prosessi, jolla vastataan kansallisten toimivaltaisten viranomaisten pyyntöihin. Prosessissa olisi määriteltävä vastuualueet ja vaiheet, joiden avulla voidaan osoittaa, että sen suuren riskin tekoälyjärjestelmät ovat vaatimustenmukaisia. Tähän kuuluu teknisten asiakirjojen, lokien, laadunhallintajärjestelmän tietojen ja muiden vaatimustenmukaisuutta osoittavien todisteiden kerääminen ja antaminen käyttöön perustellusta pyynnöstä.
Organisaation olisi varmistettava, että sen valtuutetun edustajan kanssa annettuun kirjalliseen toimeksiantoon sisältyy irtisanomislauseke. Lausekkeessa olisi mainittava, että edustajan on irtisanottava toimeksianto ja ilmoitettava siitä välittömästi asianomaiselle markkinavalvontaviranomaiselle, jos sillä on syytä katsoa, että palveluntarjoaja toimii vastoin tekoälysäädöksen mukaisia velvoitteitaan.
Jos organisaatio on sijoittautunut Euroopan unionin ulkopuolelle, sen olisi nimettävä unionissa sijaitseva valtuutettu edustaja. Tämä nimeäminen on virallistettava kirjallisella valtuutuksella ennen kuin suuren riskin tekoälyjärjestelmä asetetaan saataville EU:n markkinoilla.
Suuren riskin tekoälyjärjestelmien tarjoajan organisaation olisi määriteltävä valtuutetun edustajan vastuualueet, kun edustaja nimitetään. Valtuutetun edustajan olisi toimittava näiden velvollisuuksien puitteissa ja pystyttävä toimittamaan jäljennös näistä velvollisuuksista markkinavalvontaviranomaisille pyynnöstä jollakin toimivaltaisen viranomaisen ilmoittamalla EU:n virallisella kielellä.
Valtuutetulla edustajalla olisi oltava valtuudet:
Toimivaltaisten viranomaisten olisi voitava kääntyä suuren riskin tekoälyjärjestelmän tarjoajan lisäksi tai sijasta valtuutetun edustajan puoleen asioissa, jotka liittyvät tekoälylain noudattamiseen.
Organisaation olisi ylläpidettävä dokumentoitua näyttöä, joka kattaa näiden vastuualueiden koko kirjon.
Organisaation olisi varmistettava, että kun suuren riskin tekoälyjärjestelmä on sen vastuulla, sen varastointi- ja kuljetusolosuhteet eivät vaaranna sen vaatimustenmukaisuutta. Tähän sisältyy asianmukaisten fyysisten ja digitaalisten turvatoimien määrittely ja toteuttaminen järjestelmän eheyden suojaamiseksi esimerkiksi varastoinnin tai digitaalisen siirron aikana.
Organisaation olisi laadittava selkeä menettely tilanteita varten, joissa sen jakaman suuren riskin tekoälyjärjestelmän todetaan olevan vaatimustenvastainen ja aiheuttavan merkittävän riskin. Menettelyllä olisi varmistettava, että järjestelmän toimittajalle tai maahantuojalle sekä asianomaisille toimivaltaisille viranomaisille ilmoitetaan asiasta välittömästi. Ilmoitukseen on sisällyttävä yksityiskohtaiset tiedot vaatimustenvastaisuudesta ja toteutettavista korjaavista toimista.
Organisaation on otettava käyttöön menettely, jolla raportoidaan suuren riskin tekoälyjärjestelmien seurannassa havaituista ongelmista. Menettelyssä on määriteltävä raportointiketju ja aikataulu ongelman vakavuuden mukaan. Menettelyssä olisi määriteltävä yksityiskohtaisesti, miten palveluntarjoajalle, jakelijalle ja asiaankuuluville viranomaisille ilmoitetaan sekä yleisistä riskeistä että vakavista vaaratilanteista, mukaan luettuna menettelytapa, jota noudatetaan silloin, kun palveluntarjoajaa ei tavoiteta.
Niiden organisaatioiden osalta, jotka ovat EU:n rahoituspalvelulainsäädännön mukaisia finanssilaitoksia, olisi arvioitava sisäistä hallintotapaa ja teknisiä toimenpiteitä sen määrittämiseksi, miten tekoälysäädöksen mukaiset valvontavelvoitteet on otettu huomioon.
Organisaation olisi yksilöitävä, dokumentoitava ja tarkistettava olemassa olevat hallintorakenteet, prosessit ja mekanismit sen tarkistamiseksi, täyttävätkö ne 26 artiklan mukaiset suuren riskin tekoälyjärjestelmiin sovellettavat velvoitteet. Olemassa oleviin kirjaamisjärjestelmiin liittyvät tekniset toimenpiteet olisi arvioitava vastaavalla perusteella.
Jos vastaavuus on todettu, organisaation olisi säilytettävä dokumentoitua näyttöä siitä, miten nykyiset sisäiset hallintojärjestelyt ja tekniset toteutukset täyttävät tekoälysäädöksen asiaankuuluvat seurantavaatimukset.
Organisaation olisi toteutettava tekniset toimenpiteet, joilla tallennetaan sen suuririskisten tekoälyjärjestelmien automaattisesti tuottamat lokitiedot. Tallennusratkaisun on varmistettava, että lokit säilytetään säilytyskäytännössä määritellyn ajan, vähintään kuusi kuukautta. Järjestelmän on myös suojattava lokit luvattomalta käytöltä, muokkaamiselta ja poistamiselta ja varmistettava niiden turvallinen hävittäminen säilytysajan jälkeen.
Organisaation olisi otettava käyttöön menettely, jolla sen käyttämät suuren riskin tekoälyjärjestelmät rekisteröidään EU:n tietokantaan. Rekisteröinti on tehtävä ennen järjestelmän käyttöönottoa, ja se on pidettävä ajan tasalla asetuksen mukaisesti.
Organisaation olisi tarkistettava, että kaikki suuren riskin tekoälyjärjestelmät, joita organisaatio aikoo ottaa käyttöön, on rekisteröity EU:n tietokantaan. Tämä tarkistus on tehtävä ennen järjestelmän käyttöönottoa. Jos järjestelmää ei löydy tietokannasta, sen käyttöönotto on kielletty, ja organisaation olisi ilmoitettava toimittajalle tai jakelijalle puuttuvasta rekisteröinnistä.
Kun organisaatio on suorittanut suuririskistä tekoälyjärjestelmää koskevan perusoikeusvaikutusten arvioinnin, sen olisi ilmoitettava tuloksista asianomaiselle markkinavalvontaviranomaiselle. Ilmoitus on tehtävä ennen järjestelmän ensimmäistä käyttöönottoa. Organisaation olisi käytettävä tähän tarkoitukseen viranomaisen toimittamaa virallista mallia.
Organisaation on määriteltävä toimenpiteet, joihin ryhdytään, jos riskialttiista tekoälyjärjestelmästä aiheutuvat perusoikeusriskit toteutuvat. Tähän sisältyy sisäisten hallintojärjestelyjen määrittely ja sellaisten valitusmekanismien luominen, joiden avulla asianomaiset henkilöt voivat raportoida ongelmista ja hakea korvausta.
Organisaation olisi määriteltävä kriteerit sille, milloin aiemmin tehtyä tai järjestelmän toimittajan toimittamaa perusoikeusvaikutusten arviointia voidaan käyttää uudelleen uutta käyttöönottoa varten. Samankaltaisten käyttöönottojen yhteydessä voidaan hyödyntää olemassa olevaa arviointia vaatimustenmukaisuusprosessin tehostamiseksi. Organisaation olisi dokumentoitava perustelut arvioinnin uudelleenkäytölle.
Organisaation olisi tarkistettava ja dokumentoitava oikeusperusta, jonka perusteella sen suuren riskin tekoälyjärjestelmien tekemät päätökset selitetään. Tarkastelussa olisi yksilöitävä kaikki unionin tai kansallisen lainsäädännön nojalla sovellettavat poikkeukset tai rajoitukset ja määriteltävä, onko velvoite jo täytetty muilla säädöksillä, kuten GDPR.
Organisaatio pyrkii ennakoivasti luetteloimaan ja arvioimaan suuren riskin tekoälyjärjestelmien käyttöön liittyvien eri riskien todennäköisyyttä ja vakavuutta. Dokumentoinnin tulisi sisältää seuraavat seikat:
Organisaatio arvioi riskejä reagoimalla tilanteisiin, joissa suuririskisen tekoälyjärjestelmän eheys on vaarantunut lievästi tai vakavasti. Dokumentoinnin on sisällettävä ainakin seuraavat tiedot:
Suuririskisiin tekoälyjärjestelmiin tehtävien merkittävien muutosten vaikutukset on arvioitava etukäteen ja ne on toteutettava hallitusti. Tahattomien muutosten seuraukset on arvioitava ja pyrittävä lieventämään mahdollisia haittavaikutuksia.
Tähän prosessiin on kuuluttava myös markkinoille saattamisen jälkeisestä seurantajärjestelmästä saatujen tietojen analysointi uusien tai aiemmin tuntemattomien riskien tunnistamiseksi. Näiden arviointien tuloksia olisi käytettävä järjestelmän riskinhallintasuunnitelman säännölliseen päivittämiseen.
Merkittäviin muutoksiin voivat kuulua: organisaation, toimintaympäristön, liiketoimintaprosessien ja tietojärjestelmien muutokset sekä suuren riskin järjestelmiin tehtävät muutokset, jotka edellyttävät muodollista arviointia, dokumentoitua riskinarviointia ja hyväksyntää ennen käyttöönottoa. Muutokset voidaan tunnistaa esimerkiksi johdon arvioinneissa ja muussa suuren riskin tekoälyjärjestelmien kehittämiseen ja ylläpitoon liittyvässä työssä.
Organisaation olisi arvioitava riskit, joita voi syntyä, kun suuren riskin tekoälyjärjestelmää käytetään olosuhteissa, joissa väärinkäyttö on kohtuudella ennakoitavissa. Tässä prosessissa olisi otettava huomioon skenaariot, joissa järjestelmää käytetään ilkivaltaisesti tai väärin, ja arvioitava mahdolliset vaikutukset terveyteen, turvallisuuteen ja perusoikeuksiin.
Organisaatio arvioi säännöllisesti suuren riskin tekoälyjärjestelmien riskinhallintatoimenpiteiden tehokkuutta. Se arvioi näitä toimenpiteitä siinä määrin kuin se on teknisesti mahdollista suuren riskin tekoälyjärjestelmien asianmukaisen suunnittelun ja kehittämisen avulla;
Organisaatio on määritellyt:
Tehokkaita mittareita olisi voitava käyttää heikkouksien tunnistamiseen, resurssien parempaan kohdentamiseen ja organisaation onnistumisen/epäonnistumisen arviointiin liittyen riskialttiiden tekoälyjärjestelmien suunnitteluun ja kehittämiseen.
Organisaation olisi otettava käyttöön testausprosessi suuren riskin tekoälyjärjestelmille. Prosessilla varmistetaan, että järjestelmä toimii johdonmukaisesti aiotun tehtävänsä mukaisesti ja täyttää lakisääteiset vaatimukset. Testaus olisi suoritettava ennen käyttöönottoa sopivimpien riskinhallintatoimenpiteiden tunnistamiseksi.
Organisaation olisi määriteltävä ja dokumentoitava mittarit ja todennäköisyysrajat, joiden avulla se testaa riskialttiita tekoälyjärjestelmiään. Näin varmistetaan, että testaus on johdonmukaista, objektiivista ja linjassa järjestelmän käyttötarkoituksen kanssa. Nämä metriikat ja kynnysarvot on määriteltävä ennen testauksen aloittamista, ja niitä olisi tarkistettava koko kehityksen elinkaaren ajan.
Jos suuren riskin tekoälyjärjestelmä on osa tuotetta, joka kuuluu myös muiden EU:n erityislakien soveltamisalaan, organisaation olisi laadittava yksi yhtenäinen tekninen dokumentaatio. Tämän asiakirjan on sisällettävä kaikki tekoälylainsäädännössä ja asiaa koskevassa tuotelainsäädännössä vaaditut tiedot.
Jos organisaatio on pieni tai keskisuuri yritys (pk-yritys), mukaan lukien aloittava yritys, sen olisi käytettävä Euroopan komission toimittamaa yksinkertaistettua teknisen dokumentoinnin lomaketta. Lomake on suunniteltu vähentämään hallinnollista taakkaa ja osoittamaan samalla vaatimustenmukaisuus. Ilmoitettujen laitosten on hyväksyttävä tämä erityinen lomake vaatimustenmukaisuuden arviointia varten.
Organisaation olisi määriteltävä tarkat tapahtumat ja tiedot, jotka kunkin suuren riskin tekoälyjärjestelmän on kirjattava. Määrittelyn avulla varmistetaan, että lokit tarjoavat jäljitettävyyden, jota tarvitaan riskien tunnistamiseen, toiminnan seurantaan ja markkinoille saattamisen jälkeisen valvonnan tukemiseen. Sovellettavien järjestelmien osalta eritelmässä on mainittava käyttöaika, tarkistetut viitetietokannat, syötetyt tiedot, jotka aiheuttavat vastaavuuden, ja tulokset tarkistavan henkilön henkilöllisyys.
Organisaation olisi suunniteltava ja toteutettava teknisiä ominaisuuksia suoraan suuren riskin tekoälyjärjestelmiin, jotta ihmisen suorittama valvonta olisi tehokasta. Näiden sisäänrakennettujen mekanismien olisi helpotettava ihmisen ymmärrystä, seurantaa ja puuttumista järjestelmän toimintaan, mukaan lukien selkeät käyttöliittymät, seuranta-mittaristot, hälytysjärjestelmät ja ohitustoiminnot.
Organisaation olisi analysoitava ja dokumentoitava tarvittavat inhimilliset valvontatoimenpiteet kutakin suuren riskin tekoälyjärjestelmää varten. Analyysin olisi perustuttava järjestelmän erityisiin riskeihin, autonomian tasoon ja käyttöyhteyteen, jotta voidaan varmistaa, että valitut toimenpiteet ovat tehokkaita ja oikeasuhteisia.
Organisaation olisi määriteltävä ja dokumentoitava tekoälyjärjestelmiensä tekniset vaatimukset. Tässä dokumentaatiossa olisi määriteltävä järjestelmän käyttötarkoituksen ja siihen liittyvien riskien perusteella odotettu tarkkuus-, kestävyys- ja kyberturvallisuustaso. Vaatimuksia olisi tarkistettava ja ylläpidettävä johdonmukaisesti koko tekoälyjärjestelmän elinkaaren ajan.
Tekoälyjärjestelmien testausta ja validointia varten olisi luotava ja dokumentoitava prosessi. Tällä prosessilla varmistetaan, että järjestelmät täyttävät vaaditun tarkkuuden, kestävyyden ja kyberturvallisuuden tason ennen käyttöönottoa. Validointitoimiin olisi kuuluttava suorituskykytestausta määriteltyjä mittareita vasten, kestävyystestausta odottamattomilla syötteillä ja kyberturvallisuuden haavoittuvuusarviointeja.Organisaation olisi varmistettava, että suuren riskin tekoälyjärjestelmät, jotka jatkavat oppimista käyttöönoton jälkeen, suunnitellaan siten, että palautesilmukoista aiheutuvia riskejä vähennetään. Tämä tarkoittaa sitä, että estetään puolueellisten tuotosten vaikuttaminen tuleviin toimintoihin. Organisaation olisi otettava käyttöön asianmukaiset lieventämistoimenpiteet, joilla puututaan havaittuihin palautesilmukoihin.
Organisaation on laadittava ja dokumentoitava prosessi suuren riskin tekoälyjärjestelmiensä vaatimustenmukaisuuden arviointia varten. Prosessissa on määriteltävä, miten valitaan asianmukainen arviointimenettely, joko sisäinen valvonta tai ilmoitetun laitoksen suorittama arviointi, joka perustuu yhdenmukaistettujen standardien tai yhteisten eritelmien soveltamiseen.
Kun vaatimustenmukaisuuden arviointimenettely edellyttää ilmoitetun laitoksen osallistumista, organisaation olisi toimitettava laatujärjestelmänsä ja tekoälyjärjestelmän tekniset dokumentaatiot arvioitavaksi. Ilmoitettu laitos arvioi ne määrittääkseen, ovatko järjestelmä ja siihen liittyvät prosessit vaatimusten mukaisia. Kun arviointi on onnistunut, ilmoitettu laitos antaa asianmukaisen EU-todistuksen.
Organisaation olisi laadittava kirjallinen EU-vaatimustenmukaisuusvakuutus jokaisesta suuren riskin tekoälyjärjestelmästä ennen sen markkinoille saattamista. Tämä asiakirja toimii virallisena vakuutuksena siitä, että järjestelmä täyttää tekoälylain vaatimukset. Vakuutus on käännettävä vaadituille kielille, ja se on pidettävä kansallisten viranomaisten saatavilla 10 vuoden ajan sen jälkeen, kun järjestelmä on saatettu markkinoille.
Organisaation olisi toteutettava suuren riskin tekoälyjärjestelmiä koskeva sisäinen vaatimustenmukaisuuden arviointimenettely tekoälysäädöksen liitteen VI mukaisesti. Tähän kuuluu laadunhallintajärjestelmän asianmukaisuuden varmistaminen ja teknisten asiakirjojen tarkastaminen sen varmistamiseksi, että järjestelmä täyttää kaikki vaatimukset. Arvioinnin tulokset on dokumentoitava, jotta saadaan tarvittavat todisteet ennen EU-vaatimustenmukaisuusvakuutuksen antamista.
Organisaation olisi kiinnitettävä CE-merkintä jokaiseen suuren riskin tekoälyjärjestelmään, joka täyttää tekoälylain vaatimukset onnistuneen vaatimustenmukaisuuden arvioinnin jälkeen. CE-merkinnän on oltava näkyvä, luettava ja pysyvä. Se olisi sijoitettava itse tekoälyjärjestelmään, sen tietokilpeen tai, jos se ei ole mahdollista, sen pakkaukseen ja mukana oleviin asiakirjoihin.
Organisaation olisi laadittava ja dokumentoitava prosessi, jolla määritetään oikea vaatimustenmukaisuuden arviointimenettely sen suuririskisille tekoälyjärjestelmille. Prosessissa olisi tarkistettava, kuuluuko tekoälyjärjestelmä tekoälylain liitteessä I olevassa A jaksossa luetellun muun EU:n yhdenmukaistamislainsäädännön soveltamisalaan. Jos näin on, organisaation on noudatettava kyseisen lainsäädännön mukaista vaatimustenmukaisuuden arviointimenettelyä ja varmistettava samalla, että kaikki tekoälylainsäädännön asiaankuuluvat vaatimukset sisältyvät arviointiin.
Organisaation olisi varmistettava, että suuren riskin tekoälyjärjestelmän teknisiin dokumentaatioihin, jotka kuuluvat myös muun EU-lainsäädännön piiriin, sisältyy erityisiä tekoälysäädöksen osia. Dokumentaatioiden on sisällettävä yksityiskohtainen kuvaus tekoälyjärjestelmän kehitysprosessista, tietoja sen seurannasta ja valvonnasta sekä kuvaus sen valmiuksista ja rajoituksista liitteen VII mukaisesti.
Organisaation olisi laadittava prosessi ilmoitetun laitoksen valitsemiseksi suuren riskin tekoälyjärjestelmille, jotka kuuluvat myös muun EU:n lainsäädännön soveltamisalaan. Prosessissa on tarkistettava, että valittu laitos on paitsi ilmoitettu muun asiaa koskevan lainsäädännön nojalla myös virallisesti oikeutettu arvioimaan tekoälylain vaatimustenmukaisuutta.
Organisaation on luotava prosessi, jolla luodaan, hallinnoidaan ja ylläpidetään EU:n vaatimustenmukaisuusvakuutus kutakin sen tarjoamaa suuren riskin tekoälyjärjestelmää varten. Tässä vakuutuksessa vahvistetaan, että järjestelmä on tekoälylain mukainen.
Prosessilla olisi varmistettava, että vakuutus:
Ilmoitus olisi käännettävä kielelle, jota niiden jäsenvaltioiden toimivaltaiset viranomaiset ymmärtävät, joissa järjestelmää markkinoidaan. Ilmoitus olisi laadittava siten, että se annetaan yhtenä ilmoituksena, jos tekoälyjärjestelmään sovelletaan myös muuta EU:n yhdenmukaistamislainsäädäntöä.
Organisaation olisi laadittava dokumentoitu prosessi, jonka avulla se voi CE-merkitä suuren riskin tekoälyjärjestelmänsä vaatimustenmukaisuuden osoittamiseksi. Prosessin olisi katettava sekä fyysiset että digitaaliset järjestelmät ja varmistettava, että merkintä tehdään oikein.
Prosessissa olisi käsiteltävä seuraavia asioita:
Organisaation olisi pidettävä rekisteriä suuren riskin tekoälyjärjestelmistään ja niiden vaatimustenmukaisuustilanteesta. Kunkin järjestelmän osalta tässä rekisterissä olisi dokumentoitava, että CE-merkintä on kiinnitetty asianmukaisesti vakiintuneen prosessin mukaisesti. Asiakirjoissa olisi myös täsmennettävä kaikki muu EU:n lainsäädäntö, jonka CE-merkintä kattaa kyseisen järjestelmän osalta.
Suuren riskin tekoälyjärjestelmien tarjoajien olisi laadittava ja dokumentoitava selkeä prosessi toimivaltaisten viranomaisten pyyntöihin vastaamiseksi. Näin varmistetaan, että kaikki tarvittavat tiedot, asiakirjat ja lokit, joilla osoitetaan tekoälyjärjestelmän vaatimustenmukaisuus, voidaan toimittaa ajoissa.
Prosessissa olisi määriteltävä:
Suuren riskin tekoälyjärjestelmien tarjoajat voivat ryhtyä toimenpiteisiin varmistaakseen, että toimivaltaiset viranomaiset kunnioittavat tietojen luottamuksellisuutta, jotta voidaan suojella:
Organisaation on laadittava ja dokumentoitava markkinoille saattamisen jälkeinen valvontasuunnitelma suuren riskin tekoälyjärjestelmille. Suunnitelmassa olisi määriteltävä jäsennelty ja järjestelmällinen prosessi, jolla järjestelmän suorituskykyä seurataan, mitataan, dokumentoidaan ja analysoidaan koko elinkaaren ajan.
Suunnitelmassa olisi täsmennettävä:
Suunnitelma olisi liitettävä virallisesti osaksi teknisiä asiakirjoja. Dokumentoidut tiedot olisi säilytettävä todisteena kunkin suuren riskin tekoälyärjestelmän suorituskyvystä ja tehokkuudesta.
Organisaation olisi pantava täytäntöön markkinoille saattamisen jälkeistä seurantaa koskeva prosessi suunnitelmassaan määritellyllä tavalla. Tähän kuuluu se, että se kerää, dokumentoi ja analysoi aktiivisesti ja järjestelmällisesti asiaankuuluvia tietoja suuririskisten tekoälyjärjestelmiensä suorituskyvystä koko niiden elinkaaren ajan.
Prosessiin olisi kuuluttava sen seuranta ja analysointi, miten sen korkean riskin tekoälyjärjestelmä on vuorovaikutuksessa muiden järjestelmien kanssa. Analyysin avulla olisi tunnistettava kaikki odottamattomat suorituskykyyn liittyvät ongelmat tai riskit, jotka johtuvat vuorovaikutuksesta. Tulokset olisi dokumentoitava ja niitä olisi käytettävä järjestelmän jatkuvan vaatimustenmukaisuuden ja turvallisuuden arviointiin, jos ne eivät sisällä lainvalvontaviranomaisten käyttämän suuren riskin tekoälyjärjestelmän arkaluonteisia toimintatietoja.Analyysin avulla olisi arvioitava, noudattaako järjestelmä jatkuvasti vaatimuksia, ja sitä olisi käytettävä korjaavien ja ehkäisevien toimien perustana.Organisaation olisi laadittava ja dokumentoitava menettely, jolla hallitaan ja raportoidaan vakavista vaaratilanteista, jotka liittyvät sen suuren riskin tekoälyjärjestelmiin. Menettelyllä olisi varmistettava oikea-aikainen viestintä markkinavalvontaviranomaisten kanssa.
Menettelyyn olisi sisällyttävä
Organisaation olisi pidettävä kirjaa kaikista vakavista vaaratilanteista, jotka liittyvät sen suuren riskin tekoälyjärjestelmiin. Tässä rekisterissä olisi dokumentoitava vaaratilanteen yksityiskohdat, suoritettu tutkinta, viranomaisille toimitetut raportit ja korjaavat toimet, jotka on toteutettu ongelman ratkaisemiseksi ja tulevien tapausten estämiseksi.
Organisaation olisi määriteltävä prosessi, jonka avulla asianomaiselle kansalliselle markkinavalvontaviranomaiselle ilmoitetaan, kun tekoälyjärjestelmän todellisissa olosuhteissa testaus keskeytetään tai lopetetaan. Prosessilla olisi myös varmistettava, että lopulliset tulokset ilmoitetaan sen jäsenvaltion viranomaiselle, jossa testaus suoritettiin.
Tekoälyjärjestelmät, joita on tarkoitus käyttää turvallisuuskomponentteina kriittisen digitaalisen infrastruktuurin hallinnassa ja toiminnassa, tieliikenteessä tai vesi-, kaasu-, lämmitys- tai sähköhuollossa, olisi rekisteröitävä kansallisella tasolla.
Organisaation olisi laadittava ja dokumentoitava sääntelyn noudattamista koskeva strategia, joka sisältää prosessin, jolla hallitaan suuren riskin tekoälyjärjestelmiin tehtäviä muutoksia. Prosessilla varmistetaan, että kaikki muutokset tarkastetaan, validoidaan ja hyväksytään järjestelmällisesti ennen käyttöönottoa vaatimustenmukaisuuden ylläpitämiseksi. Menettelyssä olisi määriteltävä, miten muutokset luokitellaan, ja hahmotettava uudelleenarvioinnin vaiheet, jotta varmistetaan, että järjestelmä pysyy vaatimustenmukaisena koko elinkaarensa ajan.
Organisaation olisi otettava käyttöön virallinen prosessi, jolla asianomaisille osapuolille ilmoitetaan, kun suuren riskin tekoälyjärjestelmän todetaan olevan vaatimustenvastainen. Prosessissa olisi määriteltävä vastuualueet ja aikataulut näitä tiedonantoja varten.
Tilanteesta riippuen ilmoitettavia osapuolia ovat muun muassa seuraavat:
Organisaation on määriteltävä ja dokumentoitava tekoälyjärjestelmiensä tapahtumalokivaatimukset niiden koko elinkaaren ajalta. Tähän kuuluu lokittavien tapahtumatyyppien määrittäminen (esim. järjestelmän toiminnot, käyttäjän vuorovaikutus, virheet, suorituskykymittarit) ja tekoälyjärjestelmän elinkaaren tietyt vaiheet, joissa lokitusta tarvitaan, kuten kehitys, testaus, käyttöönotto ja käyttö.
Tekniset ratkaisut olisi otettava käyttöön sen varmistamiseksi, että nämä määritellyt lokit tallennetaan tehokkaasti erityisesti tekoälyjärjestelmän käytön aikana. Lokit olisi säilytettävä turvallisesti, niitä olisi säilytettävä määriteltyjen käytäntöjen mukaisesti ja niihin olisi päästävä käsiksi esimerkiksi tilintarkastusta, vaaratilanteiden tutkintaa, suorituskyvyn seurantaa ja vaatimustenmukaisuuden todentamista varten.
Organisaation olisi määriteltävä selkeät roolit ja vastuualueet tekoälyjärjestelmien hallintaa, kehittämistä, käyttöönottoa ja seurantaa varten. Näiden roolien olisi katettava tekoälyjärjestelmän elinkaaren kaikki vaiheet, ja ne olisi osoitettava päteville henkilöille tai tiimeille. Määriteltyihin vastuualueisiin voi sisältyä esimerkiksi riskienhallinta, tekoälyjärjestelmien vaikutustenarvioinnit, yksityisyyden suoja, turvallisuus, kehittäminen, suorituskyky, tiedonhallinta, ihmisten valvonta ja asiaankuuluvien säännösten noudattaminen.
Organisaation olisi toteutettava riittävät lieventämis- ja valvontatoimenpiteet, joilla puututaan sellaisiin suuren riskin tekoälyjärjestelmiin liittyviin riskeihin, joita ei voida poistaa suunnittelun avulla. Näiden toimenpiteiden valinnan olisi perustuttava riskianalyysiin, ja ne olisi dokumentoitava asianmukaisesti.
Yleiskäyttöisten tekoälymallien tarjoajien olisi varmistettava, että käytössä on sisäiset menettelyt, joilla estetään järjestelmäriskin sisältävien GPAI-mallien tarjoamiseen liittyvien tietojen ja asiakirjojen luvaton käyttö, paljastaminen tai väärinkäyttö.
Organisaation on laadittava ja pantava täytäntöön toimintatapa, jolla varmistetaan tekijänoikeuslainsäädännön noudattaminen koulutettaessa yleiskäyttöisiä tekoälymalleja. Politiikkaan on sisällyttävä prosessi, jolla tunnistetaan ja kunnioitetaan oikeudenhaltijoiden tekstin ja tiedon louhintaa koskevia oikeuksien varauksia.
Jos organisaatio ei noudata hyväksyttyä käytännesääntöä tai yhdenmukaistettua standardia, sen olisi valmisteltava vaihtoehtoisia menetelmiä vaatimustenmukaisuuden osoittamiseksi. Tämä edellyttää yksityiskohtaisen dokumentaation laatimista ja ylläpitämistä toimenpiteistä, prosesseista ja valvonnasta, jotka on toteutettu tekoälysäädöksen yleiskäyttöisiä tekoälymalleja koskevien velvoitteiden täyttämiseksi. Dokumentaation olisi oltava riittävät, jotta komissio voi suorittaa niiden arvioinnin.
Organisaation olisi seurattava yleiskäyttöisiin tekoälymalleihin sovellettavien yhdenmukaistettujen eurooppalaisten standardien julkaisemista. Kun standardit julkaistaan, organisaation olisi hyväksyttävä ja pantava ne täytäntöön. Yhdenmukaistettujen standardien noudattaminen antaa oletuksen tekoälysäädöksen noudattamisesta, mikä voi yksinkertaistaa vaatimustenmukaisuusprosessia.
Digiturvamallissa kaikki vaatimuskehikkojen vaatimukset kohdistetaan universaaleihin tietoturvatehtäviin, jotta voitte muodostaa yksittäisen suunnitelman, joka täyttää ison kasan vaatimuksia.
.png)
Aloita ilmaiseksi tutussa Microsoft Teams -ympäristössä.
Jos sinulla on kysymyksiä, varaa palaveri sinulle sopivaan ajankohtaan.
.svg)
.svg)
