Organisaation on varmistettava, että kaikilla henkilöstön jäsenillä ja asiaankuuluvilla kolmansilla osapuolilla, jotka kehittävät, ottavat käyttöön, käyttävät tekoälyjärjestelmiä tai ovat vuorovaikutuksessa niiden kanssa, on tarvittavat tiedot, taidot ja tietoisuus, jotta he voivat toimia turvallisesti, eettisesti ja sovellettavien lakien ja standardien mukaisesti.

Koulutuksessa olisi keskityttävä kunkin roolin kannalta olennaisimpiin aloihin. Tekoälyn käytöstä olisi järjestettävä erillistä koulutusta yleiselle ja tekniselle henkilöstölle. Koulutuksen laajuus ja koulutusmenettely olisi dokumentoitava.

Organisaation on virallisesti suoritettava tekoälyriskien arvioinnit alkuperäisen suunnittelun aikana laaditun prosessin mukaisesti (ISO 42001 -standardin 6.1.2 kohdan mukaisesti).

Nämä riskinarvioinnit on tehtävä kahdella keskeisellä aikavälillä:

• Suunniteltuina, ennalta määrättyinä ajankohtina (esim. vuosittain tai muulla säännöllisellä aikataululla).
• Aina kun tapahtuu tai ehdotetaan merkittäviä sisäisiä tai ulkoisia muutoksia (esim. muutokset tekoälyjärjestelmässä, sen käyttötarkoituksessa, uudet oikeudelliset vaatimukset tai uudet riskit).

Jokaisen arvioinnin jälkeen organisaation on luotava ja ylläpidettävä dokumentoitua tietoa, johon kirjataan riskinarviointiprosessin tulokset, analyysi ja johtopäätökset.

Organisaation on virallisesti suoritettava tekoälyriskien arvioinnit alkuperäisen suunnittelun aikana laaditun prosessin mukaisesti (ISO 42001 -standardin 6.1.2 kohdan mukaisesti).

Nämä riskinarvioinnit on tehtävä kahdella keskeisellä aikavälillä:

• Suunniteltuina, ennalta määrättyinä ajankohtina (esim. vuosittain tai muulla säännöllisellä aikataululla).
• Aina kun tapahtuu tai ehdotetaan merkittäviä sisäisiä tai ulkoisia muutoksia (esim. muutokset tekoälyjärjestelmässä, sen käyttötarkoituksessa, uudet oikeudelliset vaatimukset tai uudet riskit).

Jokaisen arvioinnin jälkeen organisaation on luotava ja ylläpidettävä dokumentoitua tietoa, johon kirjataan riskinarviointiprosessin tulokset, analyysi ja johtopäätökset.

Organisaation ylimmän johdon tulisi osoittaa johtajuutta ja sitoutumista tekoälyn hallintajärjestelmään (AIMS) seuraavasti:

• Varmistamalla, että tekoälypolitiikka ja tekoälytavoitteet on vahvistettu ja että ne ovat yhteensopivia organisaation strategisen suunnan kanssa.
• Varmistamalla, että tekoälyn hallintajärjestelmän vaatimukset sisällytetään organisaation liiketoimintaprosesseihin.
• Varmistetaan, että tekoälyn hallintajärjestelmän edellyttämät resurssit ovat käytettävissä.
• Tehokkaan tekoälyn hallinnan ja tekoälyn hallintajärjestelmän vaatimusten noudattamisen tärkeydestä tiedottaminen.
• Varmistetaan, että AIMS saavuttaa aiotut tulokset.
• Ohjataan ja tuetaan henkilöitä, jotka edistävät tekoälyn hallintajärjestelmän tehokkuutta.
• Edistetään jatkuvaa parantamista.
• Muiden asiaankuuluvien johtotehtävien tukeminen, jotta ne voivat osoittaa johtajuuttaan vastuualueillaan.

Organisaation olisi määriteltävä ja dokumentoitava kunkin suuren riskin tekoälyjärjestelmän ominaisuudet, kyvyt ja suorituskyvyn rajoitukset. Tässä dokumentaatiossa olisi ilmoitettava selkeästi tekoälyjärjestelmän käyttötarkoitus, ja se olisi sisällytettävä käyttöönottajille annettaviin käyttöohjeisiin.

Organisaation on pantava täytäntöön tekoälyriskien käsittelysuunnitelmassaan (kuten ISO 42001 -standardin lausekkeessa 6.1.3 on määritelty) esitetyt valvontatoimet ja toimet.

Tämän prosessin on oltava jatkuva sykli, johon sisältyy:

• Suunniteltujen riskienkäsittelyjen toteuttaminen.
• Toteutettujen toimenpiteiden tehokkuuden tarkistaminen sen varmistamiseksi, että ne vähentävät riskiä aiotulla tavalla.
• Suunnitelman uudelleenarviointi ja päivittäminen, jos käsittely osoittautuu tehottomaksi.
• saman hoitoprosessin soveltaminen kaikkiin uusiin riskeihin, jotka havaitaan jatkuvissa riskinarvioinneissa.

Organisaation on säilytettävä dokumentoitua tietoa (tallenteet) kaikkien riskienkäsittelytoimien tuloksista, mukaan lukien toteutetut valvontatoimet ja todisteet niiden tehokkuudesta.

Organisaation olisi luotava prosessi, jolla arvioidaan tekoälyjärjestelmien mahdollisia vaikutuksia yksilöihin, ryhmiin ja yhteiskuntaan koko niiden elinkaaren ajan. Prosessissa olisi määriteltävä, miten vaikutukset tunnistetaan, analysoidaan, arvioidaan ja lievennetään ja miten näitä arviointeja tarkastellaan ja päivitetään säännöllisesti.

Organisaation olisi varmistettava, että sen luomien, tarjoamien tai käyttämien tekoälyjärjestelmien käyttötarkoituksen on oltava sen tarkoituksen ja strategisen suunnan kannalta merkityksellinen. Erityiset roolit suhteessa näihin tekoälyjärjestelmiin olisi määriteltävä osana tätä kontekstuaalista ymmärrystä.

Organisaation olisi laadittava tekoälytavoitteet asiaankuuluville toiminnoille ja tasoille ja varmistettava, että ne ovat tekoälypolitiikan mukaisia ja että sovellettavat vaatimukset otetaan huomioon. Näiden tavoitteiden olisi oltava mitattavissa, jos se on mahdollista. Organisaation olisi myös määriteltävä ja dokumentoitava menetelmät, joilla näitä tekoälytavoitteita seurataan, niistä tiedotetaan ja niitä päivitetään. Lisäksi kutakin tekoälytavoitetta varten olisi laadittava suunnitelma, jossa hahmotellaan tarvittavat tehtävät, tarvittavat resurssit, vastuuhenkilöt, odotetut toteutusaikataulut ja menetelmät tavoitteen saavuttamisen arvioimiseksi.

Organisaation olisi toteutettava erityisiä, mitattavissa olevia valvontatoimia tekoälyjärjestelmien kehittämisprosesseissa varmistaakseen, että tekoälytekniikan vastuullisen suunnittelun periaatteita noudatetaan. Säännöllisiä todentamistoimia olisi toteutettava sen varmistamiseksi, että nämä perustavoitteet saavutetaan johdonmukaisesti tekoälyjärjestelmän koko elinkaaren ajan, suunnittelun alkuvaiheesta käyttöönottoon ja ylläpitoon asti.

Organisaation olisi järjestelmällisesti tunnistettava kaikki sisäiset ja ulkoiset sidosryhmät, joilla on merkitystä sen tekoälyn hallintajärjestelmän kannalta. Kunkin tunnistetun sidosryhmän osalta olisi määritettävä niiden erityistarpeet ja odotukset tekoälyn hallintajärjestelmän suhteen. Organisaation on sitten arvioitava nämä määritetyt tarpeet ja odotukset ja päätettävä, mitkä niistä otetaan huomioon ja sisällytetään tekoälyn hallintajärjestelmään.

Organisaation olisi tarkasteltava kattavasti koko toimintapolitiikkasalkkuaan löytääkseen sisäiset säädökset, joihin sen tekoälyä koskevat strategiset tavoitteet vaikuttavat tai jotka liittyvät niihin. Tämän tunnistamisen jälkeen organisaation olisi yhdenmukaistettava nämä politiikat varmistaakseen johdonmukaisuuden ja yhdenmukaisuuden tekoälyjärjestelmiä koskevissa hallintoperiaatteissaan ja lähestymistavoissaan. Tähän kuuluu myös päivittää, integroida tai kehittää uusia toimintalinjoja tarpeen mukaan yhtenäisen tekoälyn hallintorakenteen aikaansaamiseksi.

Organisaation olisi määriteltävä ja dokumentoitava tekoälyn hallintajärjestelmän roolit, vastuut ja valtuudet. Tähän prosessiin kuuluu tekoälyn hallintajärjestelmään osallistuvan avainhenkilöstön vastuiden ja valtuuksien selkeä määrittely. Nämä määritellyt roolit ja vastuualueet olisi välitettävä tehokkaasti kaikille asiaankuuluville osapuolille organisaatiossa. Lisäksi ylimmän johdon olisi delegoitava kokonaisvastuu ja -valtuudet sen varmistamiseksi, että tekoälyn hallintajärjestelmä täyttää johdonmukaisesti sille asetetut vaatimukset, ja sen suorituskyvyn raportoimiseksi ylimmälle johdolle tarkastettavaksi.

Organisaation olisi laadittava ja dokumentoitava menettelyt tekoälyjärjestelmien todentamista ja validointia varten. Näihin menettelyihin olisi sisällyttävä:

• Erityiset todentamis- ja validointitoimenpiteet, joita sovelletaan tekoälyjärjestelmiin (esim. testaus, auditointi, asiantuntija-arviointi).
• kriteerit, joilla määritetään, milloin ja miten nämä toimenpiteet olisi toteutettava (esim. tietyissä kehitysvaiheissa, merkittävien muutosten jälkeen, riskinarvioinnin perusteella tai tietyntyyppisten tekoälyjärjestelmien osalta).
• Roolit ja vastuut todentamis- ja validointitoimien toteuttamisessa.
• Menetelmät näiden toimien tulosten kirjaamiseksi ja tarkastelemiseksi.

Organisaation ylimmän johdon olisi laadittava tekoälypolitiikka, joka soveltuu organisaation tarkoitukseen ja sen tekoälyjärjestelmien luonteeseen. Politiikan olisi tarjottava puitteet tekoälytavoitteiden asettamiselle ja sisällettävä sitoumuksia täyttää sovellettavat tekoälyyn liittyvät vaatimukset (esim. oikeudelliset, lainsäädännölliset ja eettiset) ja parantaa tekoälyn hallintajärjestelmää jatkuvasti. Politiikka olisi dokumentoitava, sitä olisi ylläpidettävä ja se olisi annettava organisaation koko asianomaisen henkilöstön saataville. Tarvittaessa sen olisi oltava myös muiden asianomaisten osapuolten saatavilla, ja siinä olisi viitattava muihin asiaankuuluviin organisaation toimintaperiaatteisiin.

Organisaation on luotava kattava kehys, jonka avulla se voi suunnitella, toteuttaa ja valvoa kaikkia tekoälyn hallintajärjestelmäänsä (AIMS) kuuluvia prosesseja. Näin varmistetaan, että suunnittelu- ja riskinarviointivaiheessa yksilöidyt toimet toteutetaan tehokkaasti.

Tähän toimintakehykseen on sisällyttävä:

• Selkeiden kriteerien määrittäminen kullekin prosessille (esim. tekoälyjärjestelmän kehittämiselle, käytölle ja seurannalle) johdonmukaisen toteutuksen varmistamiseksi.
• Organisaation riskienkäsittelysuunnitelmassa yksilöityjen erityisten valvontatoimien toteuttaminen. Standardin liitteessä A lueteltuja valvontatoimia olisi käytettävä viitteenä.
• Seurataan jatkuvasti näiden valvontatoimien tehokkuutta sen varmistamiseksi, että ne ovat tehokkaita, ja harkitaan korjaavia toimia, jos niillä ei saavuteta haluttuja tuloksia.
• Muodollinen prosessi suunniteltujen muutosten hallintaa varten ja suunnittelemattomien muutosten haitallisten vaikutusten tarkastelua ja lieventämistä varten.
• Menetelmä kaikkien asiaankuuluvien ulkoisesti tarjottujen prosessien, tuotteiden tai palveluiden (esim. kolmannen osapuolen tekoälymallit, datan tarjoajat, pilvipalvelut) valvomiseksi.

Koko prosessin ajan organisaation on ylläpidettävä riittävästi dokumentoitua tietoa (tietueet), jotta voidaan todistaa, että sen toimintaprosessit on toteutettu suunnitellusti.

Organisaation olisi perustettava, toteutettava, ylläpidettävä ja jatkuvasti parannettava tekoälyn hallintajärjestelmää. Järjestelmässä olisi määriteltävä prosessit, joita tarvitaan tekoälyyn liittyvien riskien ja mahdollisuuksien hallintaan, tekoälyn vastuullisen kehittämisen ja käyttöönoton varmistamiseen sekä tekoälyn hallinnan tavoitteiden saavuttamiseen. Organisaation olisi myös varmistettava, että nämä prosessit ovat tehokkaasti vuorovaikutuksessa keskenään ja että ne dokumentoidaan asianmukaisesti.

Organisaation olisi sovellettava virallista muutoksenhallintamenetelmää kaikkiin tekoälynhallintajärjestelmään tehtäviin muutoksiin. Menetelmällä olisi varmistettava, että muutoksia valvotaan huolellisesti, mikä helpottaa saumatonta siirtymistä ja pienentää aktiivisesti riskiä, että järjestelmätoiminnoille aiheutuu haitallisia tai odottamattomia seurauksia. Tähän sisältyy muutosten vaikutusten arviointi, niiden täytäntöönpanon suunnittelu ja niiden onnistuneen käyttöönoton varmistaminen.

Organisaation olisi laadittava ja dokumentoitava virallinen prosessi tekoälyjärjestelmiensä suunnittelua ja kehittämistä varten. Tässä elinkaariprosessissa olisi varmistettava, että turvallisuus- ja eettiset periaatteet otetaan huomioon kaikissa vaiheissa tietojen keräämisestä ja mallien kouluttamisesta järjestelmän testaamiseen. Näin varmistetaan, että kaikki tekoälyn suunnittelu toteutetaan vastuullisella ja vastuullisella tavalla.

Organisaatio on määritellyt menettelyt tietoturvariskien arvioimiseksi ja käsittelemiseksi. Menettelyihin sisältyy ainakin:

• Riskien tunnistamismenetelmät
• Riskianalyysimenetelmät
• Riskien arviointiperusteet (vaikutus ja todennäköisyys).
• Riskien priorisointi, käsittelyvaihtoehdot ja valvontatehtävien määrittely.
• riskien hyväksymiskriteerit
• Prosessin toteuttamissykli, resursointi ja vastuut
• Tulokset olisi sisällytettävä organisaation riskinhallintaprosessiin.
• Tehtävän omistaja tarkistaa säännöllisesti, että menettely on selkeä ja tuottaa johdonmukaisia tuloksia.

Organisaation ylimmän johdon ja riskienhallintajärjestelmästä vastaavien henkilöiden on osallistuttava asianmukaiseen tietoturvakoulutukseen. Koulutuksella varmistetaan, että heidän taitonsa ja tietonsa riittävät riskien määrittämiseen, kyberturvallisuuden hallintakäytäntöjen arviointiin sekä prosessin yleiseen hallintaan ja johtamiseen.

Johdon olisi osallistuttava koulutukseen vähintään kahden vuoden välein, jotta heidän tietonsa ja taitonsa pysyvät ajan tasalla ja ajan tasalla. Koulutuksen olisi vastattava organisaation tarpeita ja oltava organisaation kyberturvallisuuspolitiikkojen mukaista.

Organisaation henkilöstölle järjestämistä tekoälyn koulutustilaisuuksista pidetään kirjaa. Lokia voidaan käyttää osoittamaan, millaisia erityisiä investointeja organisaatio on tehnyt henkilöstön asiantuntemuksen lisäämiseksi tekoälyjärjestelmien käytössä ja kehittämisessä.

Kunkin koulutuksen osalta dokumentaation tulisi sisältää:

• Aika
• Koulutuksen aiheet ja kesto
• koulutusmenetelmä ja kouluttaja
• Koulutukseen osallistunut henkilöstö

Organisaation olisi nimettävä henkilöstö seuraamaan tekoälyjärjestelmien luokitusten mahdollisia muutoksia. Näin varmistetaan, että luokitusmuutokset voidaan tehdä viipymättä.

Organisaation on varmistettava, että sen suuren riskin tekoälyjärjestelmiin sovelletaan vaadittua vaatimustenmukaisuuden arviointimenettelyä ennen niiden saattamista markkinoille. Tähän prosessiin kuuluu EU:n vaatimustenmukaisuusvakuutuksen laatiminen ja järjestelmän rekisteröinti EU:n julkiseen tietokantaan. Nämä vaiheet ovat välttämättömiä, jotta asetuksen noudattaminen voidaan osoittaa virallisesti.

Organisaation olisi laadittava ja ylläpidettävä ajantasaista teknistä dokumentaatiota suuren riskin tekoälyjärjestelmistään. Asiakirjojen on oltava riittävän yksityiskohtaisia, jotta viranomaiset voivat arvioida, onko järjestelmä asetuksen mukainen. Siinä olisi kuvattava järjestelmän yleiset ominaisuudet, tarkoitus, kehitysprosessi ja se, miten riskinhallintaa on sovellettu.

Organisaation olisi otettava käyttöön markkinoille saattamisen jälkeinen seurantajärjestelmä suuren riskin tekoälyjärjestelmille. Käytössä on oltava prosessi tarvittavien korjaavien toimien toteuttamiseksi, jos järjestelmän todetaan olevan vaatimustenvastainen. Tähän kuuluu jakelijoille, maahantuojille, käyttäjille ja asianomaisille viranomaisille tiedottaminen vaatimustenvastaisuudesta ja toteutetuista korjaavista toimenpiteistä.

Jos organisaatio on rahoituslaitos, johon sovelletaan EU:n rahoituspalvelulainsäädännön mukaisia sisäisiä hallintovaatimuksia, näiden hallintovaatimusten noudattaminen täyttää 17 artiklan mukaisen velvoitteen ottaa käyttöön laadunhallintajärjestelmä, lukuun ottamatta g, h ja i alakohtaa.

Organisaation olisi yksilöitävä ja dokumentoitava sisäiset hallintojärjestelyt, prosessit ja valvontatoimet, jotka vastaavat sovellettavia laadunhallintajärjestelmän vaatimuksia. Näiden hallintoa koskevien vaatimusten ja 17 artiklan mukaisten velvoitteiden välillä olisi säilytettävä selkeä yhteys.

Edellä 17 artiklan 1 kohdan g, h ja i alakohdassa tarkoitettuja näkökohtia olisi tarvittaessa käsiteltävä erikseen.

Myös kaikki 40 artiklassa tarkoitetut asiaa koskevat yhdenmukaistetut standardit olisi otettava huomioon. Se, miten tällaiset standardit on otettu huomioon, olisi dokumentoitava, jotta voidaan osoittaa, että sisäinen hallinto- ja ohjausjärjestelmä täyttää sovellettavat vaatimukset.

Organisaation on laadittava dokumentoitu prosessi, jolla se täyttää velvollisuutensa suuren riskin tekoälyjärjestelmien jakelijana. Prosessin olisi katettava jakelijan vastuulla olevan järjestelmän koko elinkaari.

Prosessin tulisi sisältää menettelyt, jotka koskevat

• Varmistetaan, että järjestelmissä on vaadittu CE-merkintä, EU-vaatimustenmukaisuusvakuutus ja käyttöohjeet ennen kuin ne asetetaan saataville markkinoilla.
• vaatimustenvastaisten järjestelmien käsittely, mukaan lukien jakelun keskeyttäminen ja ilmoitus toimittajalle tai maahantuojalle.
• Korjaavien toimien, kuten markkinoilta poistamisen tai takaisinvedon, toteuttaminen jo markkinoilla olevien vaatimustenvastaisten järjestelmien osalta.
• Yhteistyö toimivaltaisten viranomaisten kanssa ja vastaaminen tietopyyntöihin.

Organisaation olisi määriteltävä ja otettava käyttöön prosessi käyttöönotettujen suuren riskin tekoälyjärjestelmien käyttöä varten. Prosessilla on varmistettava, että järjestelmää käytetään toimittajan ohjeiden mukaisesti. Siinä olisi myös määriteltävä inhimillisen valvonnan suorittamiseen nimettyjen henkilöiden roolit, pätevyydet ja valtuudet. Jos organisaatio valvoo syöttötietoja, prosessiin on sisällyttävä toimenpiteitä, joilla varmistetaan, että tiedot ovat merkityksellisiä ja edustavia järjestelmän aiotun tarkoituksen kannalta.

Organisaation olisi laadittava ja dokumentoitava prosessi, jolla seurataan kaikkien käytössä olevien suuren riskin tekoälyjärjestelmien toimintaa palveluntarjoajan käyttöohjeiden perusteella. Prosessissa olisi määriteltävä vaiheet mahdollisten riskien tai vakavien vaaratilanteiden tunnistamiseksi ja niihin reagoimiseksi. Menettelyn olisi sisällettävä toimet, joilla järjestelmän käyttö keskeytetään ja joilla asiasta ilmoitetaan palveluntarjoajalle, jakelijalle ja asiaankuuluville viranomaisille ilman aiheetonta viivytystä.

Käyttöön otettujen suurenriskin tekoälyjärjestelmien jatkuvaa seurantaa varten olisi määriteltävä selkeät vastuualueet. Nimetyt henkilöt tai roolit on saatettava tietoisiksi velvollisuuksistaan, joihin kuuluu palveluntarjoajan käyttöohjeiden noudattaminen ja sisäisten menettelyjen noudattaminen riskien ja vaaratilanteiden ilmoittamiseksi.

Arkaluonteiset operatiiviset tiedot tapauksissa, joissa organisaatio on lainvalvontaviranomainen, eivät kuulu näiden velvoitteiden piiriin.

Organisaation olisi pidettävä kirjaa valvontatoimista kunkin käyttöönotetun suuren riskin tekoälyjärjestelmän osalta. Lokiin olisi kirjattava säännölliset toiminnalliset tarkastukset, havaitut riskit tai vaaratilanteet sekä kaikki toteutetut vastatoimet, mukaan lukien järjestelmän keskeyttäminen ja ilmoitukset asianomaisille osapuolille. Nämä kirjaukset toimivat todisteena valvontavelvoitteiden noudattamisesta.

Suuren riskin tekoälyjärjestelmien käyttöönottajien olisi määriteltävä ja dokumentoitava käytäntö, joka koskee suuren riskin tekoälyjärjestelmien automaattisesti tuottamien lokien säilytysaikoja. Säilytysajan on oltava sopiva järjestelmän käyttötarkoitukseen nähden, ja sen on kestettävä vähintään kuusi kuukautta, ellei muissa sovellettavissa laeissa vaadita muuta aikaa. Tällä käytännöllä varmistetaan, että lokit ovat tarvittaessa käytettävissä tarkastusta ja vaaratilanteiden tutkintaa varten.

Politiikassa olisi määriteltävä ja dokumentoitava prosessi, jolla hallinnoidaan näiden järjestelmien lokien säilyttämistä, jotta voidaan varmistaa, että lokit säilytetään teknisesti määritellyn säilyttämiskäytännön mukaisesti vähintään kuusi kuukautta tai muiden säädösten edellyttämällä tavalla. Prosessin olisi katettava, miten lokit kerätään, säilytetään turvallisesti ja hävitetään säilytysajan jälkeen.

Organisaation on arvioitava virallisesti tekoälyjärjestelmiensä vaikutukset yksilöihin, ryhmiin ja yhteiskuntaan ennen käyttöönottoa. Tämä on erityisen tärkeää julkisille elimille, julkisten palvelujen tarjoajille ja tekoälyjärjestelmien käyttöönottajille työllisyyden ja luoton arvioinnissa.

Arvioinnin olisi sisällettävä seuraavat seikat:

• Kuvaus prosesseista, joissa tekoälyjärjestelmää tullaan käyttämään.
• aiottu käyttöaika ja -tiheys.
• ihmisryhmät, joihin järjestelmä todennäköisesti vaikuttaa.
• Vaikutukset alaikäisiin ja muihin haavoittuviin ryhmiin.
• Näihin ryhmiin kohdistuvat erityiset haittariskit ja toimenpiteet niiden lieventämiseksi.
• Kuvaus suunnitelluista ihmisten valvontatoimenpiteistä.

Arviointia olisi päivitettävä, jos järjestelmän keskeiset osat muuttuvat käytön aikana. Sen olisi tarvittaessa täydennettävä olemassa olevia tietosuojaa koskevia vaikutustenarviointeja (DPIA).

Organisaatio on määritellyt menettelyt tietoturvariskien arvioimiseksi ja käsittelemiseksi. Menettelyihin sisältyy ainakin:

• Riskien tunnistamismenetelmät
• Riskianalyysimenetelmät
• Riskien arviointiperusteet (vaikutus ja todennäköisyys).
• Riskien priorisointi, käsittelyvaihtoehdot ja valvontatehtävien määrittely.
• riskien hyväksymiskriteerit
• Prosessin toteuttamissykli, resursointi ja vastuut
• Tulokset olisi sisällytettävä organisaation riskinhallintaprosessiin.

Tehtävän omistaja tarkistaa säännöllisesti, että menettely on selkeä ja tuottaa johdonmukaisia tuloksia.

Toteuttaessaan tekoälyjärjestelmien riskinhallintatoimenpiteitä organisaation on tunnistettava riskit, jotka vaativat hoitoa, ja määriteltävä niille hoitosuunnitelmat. Organisaatio on määritellyt, miten säännöllisesti tekoälyriskien hallintaan kokonaisuutena määriteltyjä hoitosuunnitelmia arvioidaan sekä niiden suhteellisuutta riskinarviointiin (riskin vakavuus ja todennäköisyys).

Tässä prosessissa olisi otettava huomioon erilaiset kontrollit ja vaatimustenmukaisuusvaatimukset, kuten tietojen laatu, avoimuus ja inhimillinen valvonta, jotka ovat vuorovaikutuksessa keskenään. Yhdistetyillä toimenpiteillä olisi varmistettava, että riskit minimoidaan ja tasapainotetaan tehokkaasti.

Organisaation on otettava käyttöön prosessi, jolla määritetään, onko suuren riskin tekoälyjärjestelmän kokonaisjäännösriski hyväksyttävä. Tässä yhteydessä tarkastellaan kaikkien kuhunkin vaaraan liittyvien yksittäisten jäännösriskien yhteisvaikutusta. Lopullinen arvio riskin hyväksyttävyydestä on dokumentoitava virallisesti ennen järjestelmän markkinoille saattamista tai käyttöönottoa.

Organisaation olisi laadittava ja dokumentoitava prosessi riskien poistamiseksi tai vähentämiseksi suuren riskin tekoälyjärjestelmien suunnittelun ja kehittämisen avulla. Prosessin avulla olisi varmistettava, että riskit otetaan huomioon siinä määrin kuin se on teknisesti mahdollista. Tekoälyriskien vähentämiseen tähtäävissä suunnitteluvalinnoissa on otettava huomioon järjestelmän käyttöönottajan odotettavissa oleva tekninen tietämys, kokemus ja järjestelmän aiottu käyttöyhteys.

Jos tunnistettuja riskejä ei voida poistaa suuririskisen tekoälyjärjestelmän suunnittelun ja kehittämisen avulla, olisi toteutettava asianmukaisia lieventämis- ja valvontatoimenpiteitä. Näiden valvontatoimien valinta ja toteuttaminen on dokumentoitava osana riskinhallintakansiota.

Organisaation olisi otettava käyttöön ja ylläpidettävä testausprosessia suuren riskin tekoälyjärjestelmille. Prosessilla varmistetaan, että testausta suoritetaan asianmukaisin väliajoin koko kehittämisen elinkaaren ajan ja että se saatetaan päätökseen ennen järjestelmän markkinoille saattamista tai käyttöönottoa. Kaikki testaustoimet ja niiden tulokset on dokumentoitava, jotta voidaan osoittaa vaatimustenmukaisuus ja järjestelmän suorituskyky suhteessa määriteltyihin mittareihin.

Organisaation olisi ylläpidettävä kattavaa dokumentaatiota tekoälyjärjestelmiensä suunnittelu- ja kehitysprosesseista. Tässä dokumentaatiossa olisi esitettävä selkeästi tekoälyjärjestelmän tukemat strategiset tavoitteet, asetetut vaatimukset (sekä toiminnalliset että muut kuin toiminnalliset), suunnitteluvalinnat ja suunnittelussa käytetyt erityiskriteerit. Asiakirjoista olisi myös käytävä ilmi, miten tekoälyjärjestelmän suunnittelu ja kehittäminen vastaavat näitä määriteltyjä tavoitteita, vaatimuksia ja kriteerejä.

Organisaation on varmistettava, että sen suuren riskin tekoälyjärjestelmät on suunniteltu tallentamaan tapahtumia (lokit) automaattisesti koko niiden käyttöiän ajan. Nämä lokit ovat ratkaisevan tärkeitä jäljitettävyyden, seurannan ja mahdollisten riskien tai merkittävien muutostarpeiden tunnistamisen kannalta.

Lokitiedostoihin olisi kirjattava tapahtumia, jotka helpottavat markkinoille saattamisen jälkeistä seurantaa ja varmistavat, että järjestelmä toimii tarkoitetulla tavalla. Tietyissä järjestelmissä, kuten biometriseen tunnistamiseen tarkoitetuissa järjestelmissä, lokitiedostoihin on kirjattava myös yksityiskohtia, kuten käyttöjakso, käytetty viitetietokanta, syötetyt tiedot, jotka aiheuttivat vastaavuuden, ja tulokset tarkistaneen henkilön henkilöllisyys.

Organisaation olisi määriteltävä ja dokumentoitava vaadittava pätevyys, koulutus, valtuudet ja tuki henkilöille, jotka on nimetty tekoälyjärjestelmien inhimilliseen valvontaan. Tähän sisältyy prosessien luominen seuraaviin tarkoituksiin:

• Arvioida ja varmistaa henkilöstön tarvittava pätevyys.
• Tarjotaan riittävää ja jatkuvaa koulutusta tekoälyjärjestelmien toiminnallisuuksista, riskeistä ja valvontamenettelyistä.
• Annetaan tarvittavat valtuudet puuttua asiaan, valvoa sitä ja tehdä tietoon perustuvia päätöksiä.
• Tarjotaan riittävästi tukea, resursseja ja välineitä (esim. selkeitä ohjeita, teknistä tukea, aikaa) tehokkaan valvonnan mahdollistamiseksi.

Näiden toimenpiteiden jatkuvan tehokkuuden varmistamiseksi olisi suoritettava säännöllisiä tarkistuksia.

Organisaation olisi laadittava ja pantava täytäntöön teknisiä toimenpiteitä, joilla varmistetaan, että sen suuren riskin tekoälyjärjestelmät ovat vastustuskykyisiä manipulointiyrityksiä vastaan. Toimenpiteiden olisi oltava asianmukaisia tunnistettujen riskien kannalta, ja niiden olisi kohdistuttava tekoälyyn liittyviin haavoittuvuuksiin.

Näihin kuuluvat toimenpiteet, joilla estetään, havaitaan ja vastataan hyökkäyksiin, joita ovat mm:

• Koulutusdatan tai valmiiksi koulutettujen komponenttien manipulointi (data- ja mallimyrkytys).
• Syötteet, jotka on tarkoituksellisesti suunniteltu siten, että malli tekee virheen (adversarial examples).
• Luottamuksellisuushyökkäykset, joiden tarkoituksena on tietojen poimiminen tai mallin käänteinen suunnittelu.

Organisaation on laadittava ja ylläpidettävä suunnitelma, jonka avulla se voi reagoida ja ratkaista suuren riskin tekoälyjärjestelmiinsä kohdistuvat havaitut kyberturvallisuushyökkäykset. Suunnitelmassa olisi määriteltävä menettelyt hyökkäyksen rajoittamiseksi, sen vaikutusten hallitsemiseksi ja sen taustalla olevan haavoittuvuuden poistamiseksi. Se voisi esimerkiksi sisältää vaiheet, joilla vaarantunut järjestelmä eristetään, palataan aiempaan turvalliseen malliversioon ja käynnistetään prosessi mallin kouluttamiseksi uudelleen puhtailla tiedoilla.

Organisaation olisi laadittava ja noudatettava todentamisprosessia kaikkien maahantuomiensa suuren riskin tekoälyjärjestelmien osalta ennen niiden markkinoille saattamista. Tällä prosessilla varmistetaan, että järjestelmän toimittaja on täyttänyt velvollisuutensa. Todentamisessa olisi vahvistettava, että

• Tarjoaja on suorittanut vaaditun vaatimustenmukaisuuden arvioinnin.
• Tarjoaja on laatinut tarvittavat tekniset asiakirjat.
• Järjestelmässä on CE-merkintä, EU-vaatimustenmukaisuusvakuutus ja käyttöohjeet.
• Palveluntarjoaja on nimennyt valtuutetun edustajan EU:ssa.

Organisaation olisi myös lisättävä omat yhteystietonsa järjestelmään, sen pakkaukseen tai asiakirjoihin.

Organisaation on määriteltävä prosessi, jolla käsitellään maahantuotuja suuren riskin tekoälyjärjestelmiä, joiden epäillään olevan vaatimustenvastaisia tai joissa on väärennettyjä asiakirjoja. Prosessin on estettävä järjestelmän markkinoille saattaminen, kunnes se on saatettu vaatimusten mukaiseksi. Jos järjestelmä aiheuttaa riskin, menettelyyn olisi sisällyttävä vaiheet, joiden mukaisesti asiasta ilmoitetaan toimittajalle, tämän edustajalle ja markkinavalvontaviranomaisille. Organisaation on myös varmistettava, että varastointi- ja kuljetusolosuhteet eivät vaaranna järjestelmän vaatimustenmukaisuutta.

Sisäistä valvontamenettelyä käytettäessä organisaation olisi tarkistettava, että sen laadunhallintajärjestelmä on vaatimustenmukainen ja että tekoälyjärjestelmän teknisestä dokumentaatiosta käy ilmi, että se on kaikkien vaatimusten mukainen. Tämän jälkeen organisaation olisi laadittava kirjallinen EU-vaatimustenmukaisuusvakuutus ja kiinnitettävä järjestelmään CE-merkintä.

Suuren riskin tekoälyjärjestelmien tarjoajien on laadittava ja dokumentoitava sisäinen valvontamenettely, jolla arvioidaan suuren riskin tekoälyjärjestelmien vaatimustenmukaisuutta. Menettelyllä varmistetaan, että tekoälyjärjestelmä täyttää sääntelyvaatimukset ennen sen markkinoille saattamista. Arvioinnin olisi katettava kaikki asiaankuuluvat velvoitteet, kuten riskinhallintajärjestelmä, tiedonhallinta, tekninen dokumentaatio ja avoimuustoimenpiteet seuraavilla aloilla:

• tekoälyjärjestelmät, joita on tarkoitus käyttää turvallisuuskomponentteina kriittisen digitaalisen infrastruktuurin hallinnassa ja toiminnassa, tieliikenteessä tai vesi-, kaasu-, lämmitys- tai sähköhuollossa.
• koulutus ja ammatillinen koulutus
• Työllisyys, työntekijöiden hallinta ja pääsy itsenäiseen ammatinharjoittamiseen.
• Keskeisten yksityisten palvelujen ja keskeisten julkisten palvelujen ja etuuksien saatavuus ja käyttömahdollisuudet.
• Lainvalvonta siltä osin kuin niiden käyttö on sallittua asiaa koskevan EU:n tai kansallisen lainsäädännön nojalla.
• Maahanmuutto, turvapaikka-asiat ja rajavalvonta siltä osin kuin niiden käyttö on sallittua asiaa koskevan EU:n tai kansallisen lainsäädännön nojalla.
• Oikeushallinto ja demokraattiset prosessit

Organisaation olisi laadittava dokumentoitu prosessi, jolla arvioidaan suuririskisen tekoälyjärjestelmän alkuperäisen vaatimustenmukaisuuden arvioinnin jälkeen tehtyjä muutoksia. Prosessissa olisi erotettava toisistaan merkittävät muutokset, jotka edellyttävät uutta arviointia, ja muutokset, jotka oli ennalta määritelty ja dokumentoitu alkuperäisen arvioinnin aikana. Olennaisen muutoksen tunnistamiskriteerit olisi määriteltävä selkeästi.

Organisaation olisi laadittava toimintatapa, jossa selvitetään vastuualueet, jotka liittyvät CE-merkinnän soveltamiseen suuren riskin tekoälyjärjestelmiin. Toimintaperiaatteessa olisi todettava, että merkin kiinnittäminen merkitsee, että palveluntarjoaja antaa vaatimustenmukaisuusvakuutuksen ja ottaa vastuun. Politiikassa olisi myös kiellettävä sellaisten muiden merkintöjen käyttö, jotka voivat peittää CE-merkinnän tai jotka voidaan sekoittaa siihen.

Toimintaperiaatteissa olisi vahvistettava ja dokumentoitava menettely, jolla koordinoidaan vaatimustenmukaisuuden arvioinnista vastaavan ilmoitetun laitoksen kanssa. Prosessin avulla olisi varmistettava, että ilmoitetun laitoksen tunnusnumero kiinnitetään suurenriskin tekoälyjärjestelmään, sen pakkaukseen tai asiakirjoihin joko laitoksen itsensä toimesta tai täsmällisesti sen ohjeiden mukaisesti.

Organisaation olisi laadittava prosessi sellaisten vakavien vaaratilanteiden käsittelyä varten, joita esiintyy suuririskisten tekoälyjärjestelmien reaalimaailman testauksen aikana. Prosessissa olisi määriteltävä vaiheet raportointia, lieventämistä ja mahdollista takaisinvetoa varten.

• Vakavan vaaratilanteen tunnistaminen ja dokumentointi.
• Välitön raportointi asianomaiselle kansalliselle markkinavalvontaviranomaiselle.
• Välittömät lieventämistoimet tai testauksen keskeyttäminen/lopettaminen, jos lieventäminen ei ole mahdollista.
• Menettely tekoälyjärjestelmän nopeaa takaisinottoa varten, jos testaus lopetetaan.

Organisaation olisi luotava prosessi, jolla varmistetaan, että kaikki tekoälyjärjestelmät rekisteröidään vaaditulla tavalla ennen niiden markkinoille saattamista tai käyttöönottoa. Prosessissa on määriteltävä oikea rekisteröintielin, joko EU:n laajuinen tietokanta tai kansallinen viranomainen, sen mukaan, mikä on järjestelmän erityinen luokitus tekoälysäädöksen nojalla.

Organisaation on käytettävä, ylläpidettävä ja jatkuvasti kehitettävä laadunhallintajärjestelmää. Hallintajärjestelmän rajaukset ja soveltamisala, sisältö, rooli, täytäntöönpanotiedot ja muut tarvittavat hallintajärjestelmään liittyvät tiedot on dokumentoitava selkeästi.

Organisaation on luotava prosessi tekoälyriskien arvioimiseksi ja ylläpidettävä sitä. Prosessia on ohjattava organisaation tekoälypolitiikalla ja tekoälytavoitteilla, jotta varmistetaan, että myöhemmät arvioinnit tuottavat johdonmukaisia, päteviä ja vertailukelpoisia tuloksia.

Prosessissa olisi tunnistettava riskit, jotka voivat joko edistää tai estää organisaation tekoälytavoitteiden saavuttamista. Riskianalyysiin olisi sisällyttävä organisaatioon, ihmisiin ja yhteiskuntaan kohdistuvien mahdollisten seurausten arviointi, näiden riskien todennäköisyyden arviointi mahdollisuuksien mukaan ja näiden riskien tasojen määrittäminen.

Prosessiin olisi myös sisällyttävä tekoälyriskejä koskeva arviointi vertaamalla analyysin tuloksia määriteltyihin riskikriteereihin ja asettamalla tunnistetut riskit tärkeysjärjestykseen myöhempää käsittelyä varten. Tekoälyriskien arviointiprosessista ja sen tuloksista olisi säilytettävä dokumentoitua tietoa.

Organisaation on osoitettava, että se noudattaa tekoälylain yleiskäyttöisiä tekoälymalleja koskevia vaatimuksia. Yksi tapa tehdä tämä on noudattaa hyväksyttyjä käytännesääntöjä, kunnes yhdenmukaistetut standardit ovat saatavilla. Organisaation olisi tunnistettava asianmukainen käytännesääntö, pantava sen vaatimukset täytäntöön ja dokumentoitava noudattamisprosessi vaatimustenmukaisuuden varmistamiseksi ja osoittamiseksi. Käytännesääntöjen yleisiä teemoja voivat olla esimerkiksi seuraavat:

• Hallinto ja vastuuvelvollisuus
• tekninen dokumentointi
• Avoimuus
• riskinhallinta ja haittojen vähentäminen
• tietojen hallinta ja laatu
• Tiedottaminen toimittajille ja jatkokäyttäjille
• Testaus, arviointi ja luotettavuus
• Markkinoille tulon jälkeinen seuranta ja vaaratilanteiden raportointi
• Sääntely-yhteistyö ja jatkuva parantaminen

EU:n ulkopuolelle sijoittautuneiden palveluntarjoajien olisi nimettävä unionissa toimiva valtuutettu edustaja kirjallisella toimeksiannolla. Valtuutuksen on annettava edustajalle valtuudet toimia palveluntarjoajan puolesta ja varmistaa, että tekoälysäädöstä noudatetaan.

GPAI-mallien tarjoajien ja niiden organisaatioiden olisi varmistettava, että niiden valtuutetun edustajan kirjallisessa toimeksiannossa annetaan nimenomaisesti valtuudet, joiden nojalla tekoälyvirasto tai toimivaltaiset viranomaiset voivat kääntyä heidän puoleensa kaikissa sääntöjen noudattamista koskevissa asioissa. Valtuutuksen olisi myös annettava edustajalle tehtäväksi toimittaa pyynnöstä jäljennös valtuutuksesta tekoälyvirastolle.

Toimeksiannossa olisi täsmennettävä, että edustaja on vastuussa seuraavista asioista:

• Sen tarkistaminen, että vaaditut tekniset asiakirjat ovat täydelliset ja että velvoitteet on täytetty.
• pitää tekniset asiakirjat viranomaisten saatavilla 10 vuoden ajan.
• tietojen ja asiakirjojen toimittaminen tekoälyvirastolle pyynnöstä.
• tehdä yhteistyötä viranomaisten kanssa kaikissa toimissa, joita nämä toteuttavat tekoälymallin osalta.

Organisaation olisi laadittava prosessi, jolla hallitaan sen yleiskäyttöisiin tekoälymalleihin liittyviä systeemisiä riskejä. Tähän prosessiin olisi sisällyttävä:

• Mallien arviointien suorittaminen, mukaan luettuna vastakohtainen testaus, haavoittuvuuksien ja riskien tunnistamiseksi.
• Mallin kehittämisestä tai käytöstä mahdollisesti aiheutuvien järjestelmäriskien arviointi ja lieventäminen.
• testauksen, riskinarviointien ja toteutettujen lieventämistoimenpiteiden dokumentointi.

Organisaation olisi laadittava ja dokumentoitava virallinen prosessi komission ja kansallisten toimivaltaisten viranomaisten pyyntöjen käsittelyä varten. Näin varmistetaan oikea-aikainen ja asianmukainen yhteistyö säädösten edellyttämällä tavalla.

Prosessin olisi sisällettävä seuraavat seikat:

• Vastuuhenkilön tai -ryhmän nimeäminen toimimaan yhteyspisteenä viranomaisille.
• Menettely virallisten pyyntöjen vastaanottamiseksi, todentamiseksi ja kirjaamiseksi.
• vaiheet sisäisen vastauksen koordinoimiseksi ja tarvittavien tietojen keräämiseksi.
• Ohjeet vastauksen tarkistamista ja hyväksymistä varten ennen sen toimittamista.

Yleiskäyttöisten tekoälymallien (GPAI) tarjoajien olisi luotava ja dokumentoitava prosessit, joilla varmistetaan, että valtuutetulla edustajalla on tarvittavat tiedot, pääsy ja resurssit, jotta hän voi täyttää valtuutuksen mukaiset tehtävänsä. Tähän kuuluu teknisten asiakirjojen oikea-aikainen saatavuus ja yhteistyö edustajan tietopyyntöjen kanssa, jotka koskevat tekoälysäädöksen noudattamisen osoittamiseksi tarvittavia tietoja.

Organisaation olisi laadittava ja dokumentoitava menettelyt tekoälyjärjestelmiensä jatkuvaa toimintaa ja seurantaa varten. Näissä menettelyissä olisi käsiteltävä seuraavia keskeisiä toiminnallisia näkökohtia:

• Suorituskyvyn ja järjestelmän seuranta: Tekoälyjärjestelmän suorituskykyä koskevien mittareiden määrittäminen, sen käyttäytymisen seuranta ja taustalla olevien järjestelmien kunnon seuranta.
• Huolto ja korjaukset: Rutiininomaisten huoltotoimien, järjestelmävikojen käsittelyyn liittyvien menettelyjen ja korjausprosessien määrittely.
• Päivitykset ja päivitykset: Tekoälyjärjestelmän ja sitä tukevan infrastruktuurin päivitysten, korjausten ja versiopäivitysten käyttöönoton hallinta.
• Tuki ja ongelmanratkaisu: Käyttäjätukikanavien perustaminen, roolien ja vastuualueiden määrittely ongelmanratkaisua varten sekä toimintahäiriöiden käsittelyprosessin dokumentointi.

Dokumentoinnissa olisi määriteltävä selkeästi vastuualueet, tarvittavat resurssit ja näiden operatiivisten toimintojen tiheys.

Organisaation olisi luotava ja otettava käyttöön prosesseja, joiden avulla asiakkaiden odotukset ja tarpeet voidaan tunnistaa ja sisällyttää tekoälyjärjestelmien suunnitteluun, kehittämiseen ja käyttöön. Tähän sisältyy asiakkaiden arvojen, mahdollisten huolenaiheiden ja mieltymysten huomioon ottaminen, jotka liittyvät tekoälyjärjestelmän toiminnallisuuteen, oikeudenmukaisuuteen, läpinäkyvyyteen ja yleisesti vastuulliseen toimintaan. Organisaation olisi pyrittävä sovittamaan tekoälykäytäntönsä yhteen näiden tunnistettujen asiakkaiden odotusten kanssa, jotta voidaan rakentaa luottamusta ja varmistaa, että tekoälyjärjestelmät tuottavat arvoa vastuullisesti.

Organisaation olisi varmistettava, että sen tekoälyjärjestelmien vaikutustenarvioinnit perustuvat perusteellisesti siihen erityiseen tekniseen, yhteiskunnalliseen ja oikeudelliseen ympäristöön, jossa tekoälyjärjestelmä toimii. Tähän kuuluu asiaankuuluvien teknisten rajoitusten, vallitsevien yhteiskunnallisten normien ja arvojen sekä sovellettavien oikeudellisten ja sääntelykehysten analysointi, jotta mahdolliset vaikutukset voidaan arvioida tarkasti.

Organisaation olisi laadittava ja dokumentoitava selkeät tavoitteet tekoälyjärjestelmien vastuulliselle kehittämiselle ja käytölle. Nämä tavoitteet olisi sovitettava yhteen organisaation tekoälyn hallintakehyksen ja kokonaisstrategian kanssa. Tavoitteita määriteltäessä organisaation olisi otettava huomioon eettiset periaatteet, mahdolliset yhteiskunnalliset vaikutukset ja asiaankuuluvien sidosryhmien odotukset. Tavoitteiden olisi myös ohjattava tekoälyjärjestelmien koko elinkaarta, jotta voidaan varmistaa, että tekoälyjärjestelmiä käytetään turvallisesti, oikeudenmukaisesti ja läpinäkyvästi. Tavoitteiden olisi oltava mitattavissa, jos se on käytännössä mahdollista.

Organisaation olisi toteutettava asianmukaiset turvatoimenpiteet sen varmistamiseksi, että kaikki tekoälyjärjestelmien vaikutustenarviointien dokumentoidut päätelmät tallennetaan turvallisesti. Tähän sisältyy näiden tallenteiden suojaaminen luvattomalta käytöltä, paljastamiselta, muuttamiselta tai tuhoamiselta koko niiden määritellyn säilytysajan, mikä tukee jatkuvaa hallinto- ja tarkastustoimintaa.

Organisaation olisi määriteltävä ja dokumentoitava kattava politiikka tekoälyjärjestelmien vastuullista kehittämistä, käyttöönottoa ja hallintaa varten. Tässä politiikassa olisi esitettävä organisaation sitoutuminen eettiseen tekoälyyn, riskienhallintaperiaatteet, tekoälyn tiedonhallinta sekä sovellettavien lakien ja standardien noudattaminen. Politiikkaa olisi tarkistettava ja päivitettävä säännöllisesti tekoälyteknologioiden, liiketoiminnan tarpeiden ja sääntelyn muutosten huomioon ottamiseksi. Politiikasta olisi myös tiedotettava koko asianomaiselle henkilöstölle ja sidosryhmille.

Organisaation olisi luotava prosessi tekoälyjärjestelmien kehittämiseen, käyttöönottoon ja käyttöön osallistuvan henkilöstön pätevyyden hallintaa varten. Tähän sisältyy:

• Tarvittavan pätevyyden tunnistaminen tekoälyn suorituskykyyn vaikuttavissa rooleissa.
• Arvioidaan henkilöiden nykyinen pätevyys suhteessa näihin vaatimuksiin.
• Koulutuksen tai muiden kehittämismahdollisuuksien tarjoaminen havaittujen osaamisvajeiden korjaamiseksi.
• Koulutuksen tai kehittämistoimien tehokkuuden arviointi.
• ylläpitää dokumentoitua näyttöä pätevyydestä, kuten koulutustietoja, pätevyyksiä tai kokemusyhteenvetoja.

Organisaation olisi laadittava ja ylläpidettävä menettelyä sellaisten toimittajien hallinnoimiseksi, jotka tarjoavat tekoälyjärjestelmien kehittämiseen tai käyttöön liittyviä palveluja, tuotteita tai materiaaleja. Menettelyllä olisi varmistettava, että toimittajan tarjonta ja prosessit vastaavat organisaation vastuullista tekoälyä koskevia periaatteita. Menettelyssä olisi käsiteltävä asiaankuuluvia näkökohtia, kuten toimittajan valintaa, riskinarviointia, sopimuksia, seurantaa ja tarkistusta, ja siinä olisi erityisesti otettava huomioon tekoälyyn liittyvät tekijät, kuten tietojen laatu, avoimuus, oikeudenmukaisuus ja vastuullisuus.

Organisaation olisi yksilöitävä ja dokumentoitava kaikki tarvittavat resurssit tekoälyjärjestelmien onnistuneeseen suunnitteluun, kehittämiseen, käyttöönottoon ja seurantaan niiden koko elinkaaren ajan, mukaan lukien käytöstäpoistovaihe.

Tähän sisältyvät henkilöresurssit (esim. henkilöstö, jolla on erityistä tekoälyasiantuntemusta), tekoälyjärjestelmäkomponentit, tietoresurssit (eli tekoälyjärjestelmän elinkaaren missä tahansa vaiheessa käytettävät tiedot), työkaluresurssit (esim. tekoälyalgoritmit, -mallit tai -työkalut), järjestelmä- ja laskentaresurssit (esim. laitteistot tekoälymallien kehittämistä ja suorittamista varten, tietojen ja työkaluresurssien varastointi) ja tietovarannot. Lisäksi olisi myös dokumentoitava selkeästi resurssit, joita tarvitaan muihin tekoälyyn liittyviin organisatorisiin toimintoihin, kuten tekoälyn hallintaan, riskienhallintaan tai eettisiin arviointeihin.

Organisaation olisi luotava ja ylläpidettävä kattava prosessi tekoälyn hallintajärjestelmäänsä ja sen kehittämiin tai käyttämiin tekoälyjärjestelmiin liittyvien riskien ja mahdollisuuksien tunnistamiseksi, arvioimiseksi ja käsittelemiseksi. Tässä prosessissa olisi otettava huomioon organisaation konteksti, asiaankuuluvien sidosryhmien tarpeet ja odotukset sekä tekoälyjärjestelmien erityisalue, sovellusympäristö ja aiottu käyttö.

Organisaation olisi määriteltävä selkeät kriteerit tekoälyriskien arvioimiseksi, mukaan lukien hyväksyttävät ja ei-hyväksyttävät tasot, ja käytettävä näitä kriteerejä tekoälyriskien arvioinnin ja käsittelyä koskevien päätösten ohjaamiseen. Näihin tunnistettuihin riskeihin ja mahdollisuuksiin vastaamiseksi suunnitellut toimet olisi sisällytettävä organisaation tekoälyn hallintajärjestelmän prosesseihin, ja niiden tehokkuutta olisi arvioitava säännöllisesti.

Kaikki tekoälyyn liittyvien riskien ja mahdollisuuksien tunnistamiseksi, arvioimiseksi ja hallitsemiseksi toteutetut toimenpiteet olisi dokumentoitava asianmukaisesti.

Jotta voidaan varmistaa tekoälyjärjestelmien asianmukainen resurssienhallinta, organisaation olisi pidettävä kirjaa kaikesta tekoälyjärjestelmän elinkaaren eri vaiheisiin osallistuvasta henkilöstöstä. Näihin tietoihin olisi sisällyttävä tiedot heille osoitetuista rooleista, vastuualueista ja asiaankuuluvista taidoista tai pätevyyksistä, joita tarvitaan tekoälyjärjestelmän kehittämiseen, käyttöönottoon, käyttöön, toimintaan, muuttamiseen, ylläpitoon, siirtoon, käytöstä poistamiseen, todentamiseen ja integrointiin liittyvissä tehtävissä. Nämä asiakirjat tukevat tehokasta resurssien jakamista ja osaamisen hallintaa.

Organisaation olisi laadittava ja dokumentoitava tekoälyjärjestelmien käyttöönottosuunnitelma, jossa hahmotellaan tarvittavat vaiheet, resurssit ja edellytykset onnistuneelle käyttöönotolle. Ennen tekoälyjärjestelmän käyttöönottoa organisaation olisi varmistettava, että kaikki ennalta määritellyt ehdot ja vaatimukset täyttyvät, jotta voidaan varmistaa hallittu ja turvallinen käyttöönotto.

Organisaation olisi otettava käyttöön prosessi tekoälypolitiikkansa säännöllistä tarkistamista ja validointia varten. Tarkistuksessa olisi arvioitava politiikan jatkuvaa relevanssia, riittävyyttä ja tehokkuutta tekoälyyn liittyvien riskien hallinnassa ja eettisten tekoälykäytäntöjen tukemisessa. Tarkistuksia olisi käynnistettävä myös organisaation tekoälyjärjestelmissä, toiminnallisessa kontekstissa tai asiaankuuluvissa säännöksissä tapahtuvien merkittävien muutosten yhteydessä, jotta voidaan varmistaa, että politiikka pysyy ajan tasalla ja tarkoituksenmukaisena. Tarkastusprosessiin olisi sisällyttävä selkeät kriteerit politiikan soveltuvuuden arvioimiseksi ja dokumentoidut tulokset.

Organisaation olisi luotava selkeä prosessi, jossa määritellään ja dokumentoidaan kaikki asiaankuuluvat vaatimukset, jotka koskevat uusia tekoälyjärjestelmiä tai olemassa olevien järjestelmien merkittäviä päivityksiä. Tähän sisältyvät toiminnalliset, muut kuin toiminnalliset, tekniset, turvallisuus- ja eettiset vaatimukset.

Prosessiin olisi otettava mukaan asiaankuuluvat sidosryhmät, ja siinä olisi otettava huomioon muun muassa tekoälyjärjestelmän aiottu tarkoitus, mahdolliset riskit ja vaikutukset. Dokumentoitujen vaatimusten olisi toimittava perustana tekoälyjärjestelmän elinkaaren suunnittelu-, kehitys-, testaus- ja käyttöönottovaiheille.

Suorittaessaan perusoikeusvaikutusten arviointia suuren riskin tekoälyjärjestelmää varten organisaation on yksilöitävä erityiset haittariskit, joita järjestelmän käyttö voi aiheuttaa luonnollisille henkilöille tai henkilöryhmille. Tunnistamisen olisi perustuttava niihin henkilöryhmiin, joihin tekoälyjärjestelmän on jo todettu mahdollisesti vaikuttavan.

Erityisriskien arvioinnissa on otettava huomioon myös tekoälyjärjestelmän tarjoajan toimittamat asiaankuuluvat tiedot, mukaan lukien tiedot mahdollisista riskeistä ja ehdotetuista lieventämistoimenpiteistä. Tunnistetut erityisriskit ja niiden mahdolliset vaikutukset olisi dokumentoitava perusteellisesti perusoikeusvaikutusten arvioinnin keskeisenä osana.

Organisaation olisi säännöllisesti tarkasteltava tekoälyn hallintajärjestelmään osoitettujen resurssien riittävyyttä. Tarkastelussa olisi arvioitava, ovatko nykyiset henkilöresurssit, infrastruktuuri, tiedot ja työkalut riittävät tukemaan järjestelmän jatkuvaa toimintaa, ylläpitoa ja jatkuvaa parantamista, jotta varmistetaan, että järjestelmä saavuttaa johdonmukaisesti tavoitteensa ja säilyttää tehokkuutensa.

Organisaation olisi määriteltävä ja otettava käyttöön prosessi tunnistettujen tekoälyriskien käsittelyä varten. Tähän prosessiin kuuluu asianmukaisten riskienkäsittelyvaihtoehtojen valitseminen ja riskien hallintaan tarvittavien valvontatoimien tunnistaminen. Valvontakeinoja olisi tarkasteltava huolellisesti suhteessa ISO 42001:2024 -standardin liitteessä A lueteltuihin, ja lisäksi olisi määriteltävä kaikki liitteen A lisäksi tarvittavat lisäkontrollit.

Olisi laadittava soveltuvuusselvitys (SoA), jossa dokumentoidaan kaikki valitut valvontatoimet ja perustellaan niiden sisällyttäminen tai poisjättäminen. Poissulkemisen syitä voivat olla esimerkiksi se, että riskinarvioinnissa todetaan, etteivät ne ole tarpeellisia, tai se, että ulkoiset vaatimukset sallivat poikkeukset.

Valittujen käsittelyvaihtoehtojen ja tunnistettujen valvontatoimien perusteella olisi laadittava tekoälyriskin käsittelysuunnitelma. Vastuullisen johdon on hyväksyttävä tämä suunnitelma sekä jäljelle jäävien tekoälyriskien hyväksyminen.

Organisaation olisi säilytettävä dokumentoitua tietoa tekoälyriskien käsittelyprosessistaan, soveltuvuuslausunnosta ja tekoälyriskien käsittelysuunnitelmasta. Nämä asiakirjat olisi jaettava organisaation sisällä ja annettava tarvittaessa asianomaisten osapuolten käyttöön. Valittujen valvontatoimien olisi oltava linjassa tekoälyn hallintajärjestelmän tavoitteiden kanssa.

Organisaation olisi määriteltävä tekoälyn hallintajärjestelmän perustamiseen, käyttöönottoon, ylläpitoon ja jatkuvaan parantamiseen tarvittavat resurssit ja annettava ne käyttöön. Tähän sisältyy pätevän henkilöstön, asianmukaisen infrastruktuurin (laitteistot, ohjelmistot, verkot), tekoälyjärjestelmän toimintaan soveltuvien ympäristöjen sekä tarvittavien seuranta- ja mittausresurssien määrittäminen ja varmistaminen. Organisaation olisi myös varmistettava tekoälyn tehokkaan hallinnan edellyttämän organisaation tietämyksen saatavuus ja ylläpito.

Organisaation olisi laadittava ja ylläpidettävä kattava luettelo kaikista tekoälyjärjestelmien kehittämisessä, käyttöönotossa ja käytössä käytetyistä työkaluista. Luettelon olisi sisällettävä keskeiset tiedot, kuten työkalun nimi, versio, käyttötarkoitus, lisensointitiedot ja mahdolliset erityiset kokoonpanot, joilla on merkitystä sen käytölle tekoälyjärjestelmissä. Luettelo olisi tarkistettava ja päivitettävä säännöllisesti osana organisaation tekoälyjärjestelmien resurssienhallintaprosesseja tarkkuuden ja täydellisyyden varmistamiseksi.

Organisaation olisi järjestelmällisesti arvioitava ja dokumentoitava tekoälyjärjestelmiensä mahdolliset yhteiskunnalliset vaikutukset, sekä myönteiset että kielteiset, koko niiden elinkaaren ajan suunnittelusta ja kehittämisestä käyttöönottoon ja käytöstä poistamiseen. Tässä arvioinnissa olisi otettava huomioon eri sidosryhmät ja laajemmat yhteiskunnalliset vaikutukset.

Organisaation olisi järjestelmällisesti tunnistettava ja arvioitava tekoälyjärjestelmiensä mahdollisia ennakoitavissa olevia väärinkäytöksiä koko niiden elinkaaren ajan. Arvioinnissa olisi otettava huomioon, miten järjestelmää voitaisiin käyttää tahallisesti tai tahattomasti väärin, hyödyntää tai johtaa tahattomiin haitallisiin tuloksiin, ja sisällytettävä nämä havainnot yleiseen vaikutusten arviointiin.

Organisaation olisi luotava prosessi tekoälyjärjestelmien vaikutustenarviointien tulosten dokumentoimiseksi ja ylläpidettävä sitä. Dokumentointiin olisi sisällyttävä arviointimenetelmät, tunnistetut vaikutukset, riskienkäsittelysuunnitelmat ja tehtyjen päätösten perustelut. Lisäksi organisaation olisi määriteltävä näiden asiakirjojen säilytysaika ja noudatettava sitä.

Organisaation olisi luotava ja otettava käyttöön prosessit, joilla varmistetaan, että tekoälyjärjestelmiä käytetään johdonmukaisesti niiden aiottuihin tarkoituksiin, jotka on määritelty ja dokumentoitu kehitys- tai hankintavaiheessa. Tähän sisältyy käyttötapojen tarkastelu ja niiden vertaaminen tekoälyjärjestelmän dokumentoituun laajuuteen ja tavoitteisiin.

Organisaation on virallisesti määriteltävä ja dokumentoitava sisäiset prosessinsa, jotka ohjaavat sen henkilöstön vastuullista tekoälyjärjestelmien käyttöä.

Näiden dokumentoitujen prosessien tarkoituksena on tarjota selkeät, toteutettavissa olevat säännöt ja ohjeet sen varmistamiseksi, että kaikki tekoälyn käyttö organisaatiossa on eettistä ja turvallista ja että se on linjassa lakisääteisten vaatimusten ja organisaation toimintaperiaatteiden kanssa.

Näissä prosesseissa olisi määriteltävä mm:

• Miten varmistetaan, että tekoälyjärjestelmää käytetään vain sen käyttödokumentaatiossa kuvattuun tarkoitukseen.
• Säännöt syöttö- ja lähtötietojen, erityisesti henkilökohtaisten tai arkaluonteisten tietojen, käsittelylle.
• Menettelyt, joita operaattoreiden on noudatettava ihmisen valvonnassa, puuttumisessa ja päätösten todentamisessa.
• Vaiheet odottamattoman käyttäytymisen, vaaratilanteiden tai järjestelmän mahdollisen väärinkäytön tunnistamiseksi ja raportoimiseksi.

Organisaation olisi luotava ja ylläpidettävä virallista mekanismia tekoälyjärjestelmiin liittyvien huolenaiheiden raportoimiseksi koko niiden elinkaaren ajan. Tämän mekanismin avulla olisi voitava raportoida asioista, jotka liittyvät organisaation tekoälyä koskeviin vastuisiin. Organisaation olisi tiedotettava tämän raportointimekanismin saatavuudesta asiaankuuluville sisäisille ja ulkoisille sidosryhmille ja varmistettava, että raportoidut huolenaiheet tarkastellaan ja käsitellään järjestelmällisesti.

Organisaation olisi määriteltävä ja dokumentoitava tekoälyjärjestelmän elinkaaren hallintaan liittyvät vastuut. Tähän sisältyy roolien ja vastuiden selventäminen eri vaiheissa, kuten suunnittelussa, kehityksessä, käyttöönotossa, käytössä, ylläpidossa ja käytöstä poistamisessa. Vastuut olisi jaettava selkeästi paitsi organisaation sisällä myös ulkoisille kumppaneille, toimittajille, asiakkaille ja muille tekoälyjärjestelmän elinkaareen osallistuville kolmansille osapuolille.

Organisaation olisi arvioitava, miten tekoälyjärjestelmiä koskevat tavoitteet risteävät muiden olemassa olevien politiikkojen kanssa tai miten muut olemassa olevat politiikat (esim. laatu-, turvallisuus-, yksityisyyden suoja- ja ympäristöpolitiikat) voivat vaikuttaa niihin. Tämä arviointi auttaa varmistamaan johdonmukaisuuden ja välttämään ristiriitoja tekoälyjärjestelmien kehittämisen/käyttöönoton ja organisaation laajempien strategisten tavoitteiden ja sitoumusten välillä.

Organisaation olisi järjestelmällisesti arvioitava ja dokumentoitava tekoälyjärjestelmiensä mahdolliset vaikutukset yksilöihin ja yksilöryhmiin koko tekoälyjärjestelmän elinkaaren ajan suunnittelusta ja kehittämisestä käyttöönottoon ja seurantaan. Tässä arvioinnissa olisi otettava huomioon erityyppiset vaikutukset, avoimuus ja selitettävyys, turvallisuus ja yksityisyys, oikeudenmukaisuus, saavutettavuus, vastuullisuus, turvallisuus ja terveys sekä ihmisoikeudet, jotta voidaan varmistaa vastuullinen ja ihmiskeskeinen tekoälyn kehittäminen ja käyttö.

Organisaation olisi määriteltävä vastuullisen tekoälyn tavoitteet ja tiedotettava niistä avoimesti, jotta varmistetaan, että ne ovat kaikkien sidosryhmien nähtävissä. Tavoitteiden olisi liityttävä oikeudenmukaisuuteen, vastuullisuuteen, selitettävyyteen, turvallisuuteen, yksityisyyteen ja saavutettavuuteen.

Organisaation olisi dokumentoitava, miten se täyttää nämä tavoitteet, jotta päätöksenteko olisi selkeästi kirjattu ja tarkastettavissa. Tämän pitäisi olla perusteena kolmannen osapuolen tai sisäisten tekoälyratkaisujen valinnalle. Organisaatio voi osoittaa läpinäkyvyyttä sisällyttämällä tekoälyjärjestelmiinsä mielekästä inhimillistä valvontaa seuraavilla tavoilla:

• antamalla inhimillisille tarkastajille valtuudet tarkistaa ja kumota tekoälypäätöksiä tarvittaessa.
• vaatimustenmukaisuusvaatimusten ilmoittaminen käyttöönottodokumentaatiossa
• Järjestelmän suorituskyvyn seuranta jatkuvan vastuullisuuden osoittamiseksi.
• Selkeiden raportointikanavien ylläpitäminen tekoälyn tuotoksia koskevia huolenaiheita varten ja suorituskyvyn muutoksista ilmoittaminen viipymättä sidosryhmille.
• varmistetaan, että automaattiset päätökset dokumentoidaan ja että ne voidaan tarkistaa ihmisen toimesta.

Organisaation on varmistettava, että suuren riskin tekoälyjärjestelmiä valvovat luonnolliset henkilöt ovat tietoisia mahdollisesta automatisointivinoumasta eli taipumuksesta luottaa liikaa tekoälyn tuottamiin tuloksiin. Tähän kuuluu myös erityiskoulutuksen ja ohjeistuksen antaminen siitä, miten tekoälyjärjestelmistä saatuja tietoja ja suosituksia voidaan arvioida kriittisesti, erityisesti jos niitä käytetään ihmisten päätöksentekoon. Olisi otettava käyttöön toimenpiteitä, jotka auttavat ihmisvalvojia havaitsemaan ja lieventämään tätä ennakkoluuloa.

Tekoälyn lukutaitoa koskevat ohjeet on määritelty työntekijän tehtävän yhteydessä. Organisaatio on tunnistanut erillisiä ohjeita vaativat yksiköt ja roolit ja laatii niille omat yksityiskohtaiset ohjeensa.

Esimerkkejä yksiköistä, jotka voivat vaatia omia ohjeita, ovat esimerkiksi asiakaspalvelu, IT ja HR. Esimerkkejä työrooleista, jotka vaativat omat ohjeistuksensa, ovat järjestelmänvalvojat ja etätyöntekijät.

Organisaation on laadittava ja ylläpidettävä dokumentoitua arviointimenettelyä sen määrittämiseksi, voidaanko se luokitella suuren riskin tekoälyjärjestelmän tarjoajaksi tekoälysäädöksen 25 §:n mukaisesti. Arviointi olisi suoritettava aina, kun organisaatio antaa nimensä tai tavaramerkkinsä toisen yhteisön kehittämälle suuren riskin tekoälyjärjestelmälle, tekee huomattavia muutoksia olemassa olevaan korkean riskin tekoälyjärjestelmään, joka on edelleen 6 artiklan mukaisesti korkean riskin järjestelmä, tai muuttaa tekoälyjärjestelmän käyttötarkoitusta siten, että se luokitellaan suuren riskin tekoälyjärjestelmäksi.

Menettelyn olisi katettava myös tapaukset, joissa organisaatio valmistaa tuotteen, johon sisältyy suuririskinen tekoälyjärjestelmä, joka on liitteessä I olevassa A jaksossa luetellun EU:n yhdenmukaistamislainsäädännön mukainen turvakomponentti.

Tällaisissa tapauksissa tuotteen valmistajaa olisi kohdeltava palveluntarjoajana, jos:

Jos palveluntarjoajan asema toteutuu, organisaation olisi pantava täytäntöön kaikki 16 artiklan mukaiset palveluntarjoajan velvoitteet, mukaan lukien vaatimustenmukaisuuden arviointi, tekniset asiakirjat, riskinhallinta ja markkinoille saattamisen jälkeinen seuranta. Vastuunjako ja vastuun siirto olisi dokumentoitava virallisesti aina, kun tällainen muutos tapahtuu.

Jos organisaatiosta tulee aiemmin markkinoille saatetun suuren riskin tekoälyjärjestelmän tarjoaja, sen olisi luotava yhteistyöjärjestelyt alkuperäisen tarjoajan kanssa, jotta se saa kaikki tarvittavat tekniset asiakirjat, teknisen käyttöoikeuden ja muun kohtuullisesti vaadittavan avun asetuksen noudattamisen varmistamiseksi. Olisi tarkistettava, onko alkuperäinen tarjoaja nimenomaisesti rajoittanut tekoälyjärjestelmän muuttamista riskialttiiksi järjestelmäksi. Kaikki määritykset, sopimusjärjestelyt ja niitä tukevat todisteet olisi säilytettävä.

Tekoälyjärjestelmien tarjoajien ja käyttöönottajien tai heidän organisaatioiden olisi määriteltävä ja dokumentoitava tekoälyjärjestelmiensä kehittämistä ja käyttöönottoa koskevat käytännesäännöt. Säännöstö voidaan laatia sisäisesti tai hyväksyä olemassa oleva alan säännöstö. Käytännesäännöissä olisi esitettävä organisaation sitoutuminen tekoälyn vastuulliseen käyttöön. Asiaan liittyviä teemoja voivat olla esimerkiksi

• Järjestelmän tarkoitus ja vastuullisuus
• riskien tunnistaminen ja lieventäminen
• tiedonhallinta ja tekniset rajoitukset
• perusoikeudet
• inhimillinen valvonta
• Tekninen kestävyys ja toiminnan häiriönsietokyky
• Jatkuva parantaminen
• Tietojen säilyttäminen

Ulkopuolisten sidosryhmien, kuten kansalaisyhteiskunnan organisaatioiden ja korkeakoulujen, kuuleminen on mahdollisuuksien mukaan sisällytettävä käytännesääntöjen laatimisprosessiin.

Organisaation olisi määriteltävä prosessi niitä tilanteita varten, joissa se toimii suurriskisen tekoälyjärjestelmän palveluntarjoajan roolissa. Tämä koskee esimerkiksi tapauksia, joissa organisaatio nimeää olemassa olevan järjestelmän uudelleen omalla nimellään, muuttaa olennaisesti suuririskistä järjestelmää tai muuttaa järjestelmää siten, että siitä tulee suurenriskin järjestelmä. Prosessissa on varmistettava, että organisaatio täyttää tällöin kaikki palveluntarjoajalta vaadittavat oikeudelliset velvoitteet.

Organisaation olisi varmistettava, että se säilyttää suuririskisten tekoälyjärjestelmiensä automaattisesti tuottamat lokitiedot. Näitä lokitietoja on säilytettävä järjestelmän käyttötarkoitusta vastaavan ajan, jotta toimintaa voidaan seurata ja jotta onnettomuuden jälkeinen tutkinta on mahdollista.

Organisaation on määriteltävä prosessi, jolla vastataan kansallisten toimivaltaisten viranomaisten pyyntöihin. Prosessissa olisi määriteltävä vastuualueet ja vaiheet, joiden avulla voidaan osoittaa, että sen suuren riskin tekoälyjärjestelmät ovat vaatimustenmukaisia. Tähän kuuluu teknisten asiakirjojen, lokien, laadunhallintajärjestelmän tietojen ja muiden vaatimustenmukaisuutta osoittavien todisteiden kerääminen ja antaminen käyttöön perustellusta pyynnöstä.

Organisaation olisi varmistettava, että sen valtuutetun edustajan kanssa annettuun kirjalliseen toimeksiantoon sisältyy irtisanomislauseke. Lausekkeessa olisi mainittava, että edustajan on irtisanottava toimeksianto ja ilmoitettava siitä välittömästi asianomaiselle markkinavalvontaviranomaiselle, jos sillä on syytä katsoa, että palveluntarjoaja toimii vastoin tekoälysäädöksen mukaisia velvoitteitaan.

Jos organisaatio on sijoittautunut Euroopan unionin ulkopuolelle, sen olisi nimettävä unionissa sijaitseva valtuutettu edustaja. Tämä nimeäminen on virallistettava kirjallisella valtuutuksella ennen kuin suuren riskin tekoälyjärjestelmä asetetaan saataville EU:n markkinoilla.

Suuren riskin tekoälyjärjestelmien tarjoajan organisaation olisi määriteltävä valtuutetun edustajan vastuualueet, kun edustaja nimitetään. Valtuutetun edustajan olisi toimittava näiden velvollisuuksien puitteissa ja pystyttävä toimittamaan jäljennös näistä velvollisuuksista markkinavalvontaviranomaisille pyynnöstä jollakin toimivaltaisen viranomaisen ilmoittamalla EU:n virallisella kielellä.

Valtuutetulla edustajalla olisi oltava valtuudet:

• tarkistaa, että EU-vaatimustenmukaisuusvakuutus ja vaaditut tekniset asiakirjat on laadittu ja että tarjoaja on suorittanut asianmukaisen vaatimustenmukaisuuden arviointimenettelyn
• säilyttää 10 vuoden ajan sen jälkeen, kun suurenriskin tekoälyjärjestelmä on saatettu markkinoille tai otettu käyttöön, palveluntarjoajan yhteystiedot, EU-vaatimustenmukaisuusvakuutus, tekniset asiakirjat ja mahdollinen ilmoitetun laitoksen todistus sekä antaa ne pyynnöstä toimivaltaisten viranomaisten käyttöön.
• annettava toimivaltaisille viranomaisille perustellusta pyynnöstä tiedot ja asiakirjat, jotka ovat tarpeen vaatimustenmukaisuuden osoittamiseksi, mukaan lukien pääsy automaattisesti tuotettuihin lokitietoihin, jos kyseiset lokitiedot ovat palveluntarjoajan valvonnassa.
• tehtävä yhteistyötä toimivaltaisten viranomaisten kanssa toimissa, joita toteutetaan korkean riskin tekoälyjärjestelmään liittyvien riskien käsittelemiseksi tai lieventämiseksi.
• noudatettava sovellettavia rekisteröintivelvoitteita tai varmistettava rekisteröintitietojen oikeellisuus, jos palveluntarjoaja huolehtii rekisteröinnistä.

Toimivaltaisten viranomaisten olisi voitava kääntyä suuren riskin tekoälyjärjestelmän tarjoajan lisäksi tai sijasta valtuutetun edustajan puoleen asioissa, jotka liittyvät tekoälylain noudattamiseen.

Organisaation olisi ylläpidettävä dokumentoitua näyttöä, joka kattaa näiden vastuualueiden koko kirjon.

Organisaation olisi varmistettava, että kun suuren riskin tekoälyjärjestelmä on sen vastuulla, sen varastointi- ja kuljetusolosuhteet eivät vaaranna sen vaatimustenmukaisuutta. Tähän sisältyy asianmukaisten fyysisten ja digitaalisten turvatoimien määrittely ja toteuttaminen järjestelmän eheyden suojaamiseksi esimerkiksi varastoinnin tai digitaalisen siirron aikana.

Organisaation olisi laadittava selkeä menettely tilanteita varten, joissa sen jakaman suuren riskin tekoälyjärjestelmän todetaan olevan vaatimustenvastainen ja aiheuttavan merkittävän riskin. Menettelyllä olisi varmistettava, että järjestelmän toimittajalle tai maahantuojalle sekä asianomaisille toimivaltaisille viranomaisille ilmoitetaan asiasta välittömästi. Ilmoitukseen on sisällyttävä yksityiskohtaiset tiedot vaatimustenvastaisuudesta ja toteutettavista korjaavista toimista.

Organisaation on otettava käyttöön menettely, jolla raportoidaan suuren riskin tekoälyjärjestelmien seurannassa havaituista ongelmista. Menettelyssä on määriteltävä raportointiketju ja aikataulu ongelman vakavuuden mukaan. Menettelyssä olisi määriteltävä yksityiskohtaisesti, miten palveluntarjoajalle, jakelijalle ja asiaankuuluville viranomaisille ilmoitetaan sekä yleisistä riskeistä että vakavista vaaratilanteista, mukaan luettuna menettelytapa, jota noudatetaan silloin, kun palveluntarjoajaa ei tavoiteta.

Niiden organisaatioiden osalta, jotka ovat EU:n rahoituspalvelulainsäädännön mukaisia finanssilaitoksia, olisi arvioitava sisäistä hallintotapaa ja teknisiä toimenpiteitä sen määrittämiseksi, miten tekoälysäädöksen mukaiset valvontavelvoitteet on otettu huomioon.

Organisaation olisi yksilöitävä, dokumentoitava ja tarkistettava olemassa olevat hallintorakenteet, prosessit ja mekanismit sen tarkistamiseksi, täyttävätkö ne 26 artiklan mukaiset suuren riskin tekoälyjärjestelmiin sovellettavat velvoitteet. Olemassa oleviin kirjaamisjärjestelmiin liittyvät tekniset toimenpiteet olisi arvioitava vastaavalla perusteella.

Jos vastaavuus on todettu, organisaation olisi säilytettävä dokumentoitua näyttöä siitä, miten nykyiset sisäiset hallintojärjestelyt ja tekniset toteutukset täyttävät tekoälysäädöksen asiaankuuluvat seurantavaatimukset.