Organisaation on laadittava ja dokumentoitava tietojen laatustandardit kaikille tiedoille, joita käytetään tekoälyjärjestelmien rakentamiseen tai käyttämiseen. Näissä standardeissa olisi käsiteltävä sellaisia näkökohtia kuin tarkkuus, täydellisyys, johdonmukaisuus, ajantasaisuus ja edustavuus, ja niissä olisi pyrittävä minimoimaan vääristymät. Olisi otettava käyttöön prosesseja, joilla varmistetaan, että kaikki tekoälyjärjestelmissä käytettävät tiedot ovat näiden määriteltyjen laatustandardien mukaisia.

Organisaation on luotava prosessi, jolla varmistetaan, että sen koulutus-, validointi- ja testausdatajoukot soveltuvat tekoälyjärjestelmän aiottuun tarkoitukseen. Tämän validoinnin pitäisi vahvistaa, että tiedot ovat merkityksellisiä, edustavia ja että niillä on tarvittavat tilastolliset ominaisuudet. Prosessissa on erityisesti analysoitava tietoja, jotta voidaan estää ennakkoluulot tiettyjä ihmisryhmiä kohtaan.

Organisaation olisi luotava ja ylläpidettävä dokumentaatiota jokaisesta tekoälyjärjestelmissä käytetystä tietoaineistosta. Dokumentaatiossa olisi kuvattava aineiston keskeiset ominaisuudet, kuten sen alkuperä, tilastolliset ominaisuudet ja mahdolliset tiedossa olevat rajoitukset tai vääristymät. Tarkoituksena on osoittaa, että kukin tietokokonaisuus on relevantti, edustava ja riittävän kattava järjestelmän aiottua tarkoitusta varten.

Organisaation olisi sovellettava huipputason turvallisuus- ja yksityisyydensuojatoimenpiteitä, mukaan lukien pseudonymisointi ja anonymisointi, erityisiin henkilötietoryhmiin, joita käsitellään virheiden havaitsemiseksi ja korjaamiseksi suuren riskin tekoälyjärjestelmissä. Tähän sisältyy asianmukaisen salauksen, pääsynvalvonnan ja tietojen minimointitekniikoiden toteuttaminen.

Organisaation olisi otettava käyttöön virallinen prosessi, jonka avulla määritetään, onko erityisten henkilötietoryhmien käyttö ehdottoman välttämätöntä virheiden havaitsemiseksi ja korjaamiseksi. Tähän prosessiin on sisällyttävä arvio siitä, voidaanko tavoite saavuttaa muilla tiedoilla, kuten synteettisillä tai anonymisoiduilla tiedoilla. Arvioinnin tulokset olisi dokumentoitava päätöksen perustelemiseksi.

Suuren riskin tekoälyjärjestelmien tarjoajien olisi otettava käyttöön ja ylläpidettävä menettelyjä, joilla säilytetään niiden valvonnassa olevien suuren riskin tekoälyjärjestelmien automaattisesti tuottamat lokitiedot. Näiden lokien säilytysajan on oltava vähintään kuusi kuukautta tai pidempi, jos asiaa koskevassa unionin tai kansallisessa lainsäädännössä, erityisesti tietosuojasäännöksissä, niin edellytetään.

Organisaation olisi määriteltävä ja dokumentoitava tiedonhallintaprosessit suuren riskin tekoälyjärjestelmiä varten. Prosessien on katettava koko tietojen elinkaari tietojen keräämisestä niiden säilyttämiseen.

Menettelyillä olisi varmistettava, että tekoälyjärjestelmän kehittämisessä ja käyttämisessä käytettävät tiedot ovat merkityksellisiä, edustavia ja niitä käsitellään turvallisesti. Tähän sisältyy käytäntöjen määrittely seuraaville seikoille:

• Tiedon hankinta, kerääminen ja analysointi.
• tietojen merkitseminen, suodattaminen ja yhdistäminen.
• tietojen varastointi, turvallisuus ja säilytysaikataulut.
• tietojen laadun ja soveltuvuuden tarkistaminen.

Tekoälymallia varten olisi laadittava ja ylläpidettävä teknistä dokumentaatiota. Dokumentaation olisi katettava vähintään seuraavat asiat:

• Malliarkkitehtuuri, suunnittelumäärittelyt ja käyttötarkoitus
• Koulutus- ja testausmenetelmät, mukaan lukien tietolähteet ja tiedonhallintatoimenpiteet.
• arviointimenettelyt, vertailuarvot ja tulokset
• tunnistetut riskit, rajoitukset ja tunnetut vikatilanteet

Dokumentaatioiden olisi oltava versiohallittuja, niitä olisi tarkistettava säännöllisesti ja ne olisi säilytettävä sellaisessa muodossa, että ne voidaan pyynnöstä toimittaa ilman aiheetonta viivytystä asianomaisille viranomaisille.

GPAI-mallien tarjoajien olisi laadittava, ylläpidettävä ja asetettava saataville dokumentaatiot, joiden avulla tekoälyjärjestelmien tarjoajat voivat:

Dokumentaation tulisi kattaa vähintään seuraavat asiat

• ymmärtää mallin ominaisuudet, suorituskykyominaisuudet ja rajoitukset.
• tunnistaa asianmukaiset käyttötapaukset ja ennakoitavissa olevat väärinkäytökset.
• Toteuttaa tarvittavat riskinhallinta-, inhimillisen valvonnan ja tekoälylain mukaiset vaatimustenmukaisuustoimenpiteet.

Julkistaminen olisi jäsenneltävä siten, että suojataan teollis- ja tekijänoikeudet, luottamukselliset liiketoimintatiedot ja liikesalaisuudet EU:n ja kansallisen lainsäädännön mukaisesti. Lisäksi olisi määriteltävä ja dokumentoitava pääsynvalvonta, lisenssiehdot ja luottamuksellisuusmekanismit.

The organization should define and implement a process for managing data assets used by AI systems. This includes documenting the data sources, types, characteristics, quality, and any relevant processing or usage details to ensure appropriate data governance and traceability for AI development and operation.

Organisaation on määriteltävä ja dokumentoitava menettely tietojen alkuperän varmistamiseksi tekoälyjärjestelmissään. Menettelyssä olisi määriteltävä yksityiskohtaisesti, miten tietojen alkuperää, muunnoksia ja käyttöä seurataan ja kirjataan sekä tietojen että tekoälyjärjestelmän koko elinkaaren ajan. Tavoitteena on varmistaa tietojen jäljitettävyys ja vastuullisuus kaikelle tekoälyratkaisuissa käytetylle tiedolle.

Organisaation on luotava ja otettava käyttöön vankat tiedonhallinta- ja -hallintakäytännöt erityisesti suuren riskin tekoälyjärjestelmissä käytettäviä koulutus-, validointi- ja testaustietoaineistoja varten. Nämä käytännöt on räätälöitävä kunkin tekoälyjärjestelmän käyttötarkoituksen mukaan.

Erityistä huomiota olisi kiinnitettävä tietojen valmisteluun liittyvien käsittelytoimintojen hallintaan, joihin kuuluvat mm:

• Annotaatio ja merkinnät: Selkeiden ohjeiden ja menettelyjen määrittely, joilla varmistetaan tietojen merkintöjen ja merkintöjen tarkkuus, johdonmukaisuus ja laatu.
• Puhdistus: Menetelmien ja työkalujen käyttöönotto virheiden, epäjohdonmukaisuuksien tai puuttuvien arvojen tunnistamiseksi, korjaamiseksi ja lieventämiseksi tietokokonaisuuksissa.
• Päivittäminen: Prosessien luominen uusien tietojen tai olemassa oleviin tietoihin tehtyjen muutosten oikea-aikaista ja täsmällistä sisällyttämistä varten, jotta varmistetaan, että tietokokonaisuus pysyy ajan tasalla ja merkityksellisenä.
• Rikastaminen: Prosessin hallinta, jossa arvokasta ja merkityksellistä tietoa lisätään olemassa oleviin tietokokonaisuuksiin eri lähteistä ja varmistetaan tietojen eheys ja laatu.
• Yhdistäminen: Määritellään asianmukaiset menetelmät eri lähteistä peräisin olevien tietojen yhdistämiseksi ja varmistetaan, että yhdistetyt tiedot ovat tarkkoja, johdonmukaisia ja tarkoituksenmukaisia.

Organisaation olisi varmistettava, että näihin tietojen valmistelutoimiin osallistuva henkilöstö on asianmukaisesti koulutettu ja että prosessit dokumentoidaan ja että niiden tehokkuutta ja vaatimustenmukaisuutta tarkastellaan säännöllisesti.

Organisaation on luotava ja ylläpidettävä prosesseja, joilla tunnistetaan koulutus-, validointi- ja testausdatakokonaisuuksissa olevat merkitykselliset tietopuutteet tai puutteet, jotka voivat estää sääntelyvaatimusten noudattamisen. Organisaation olisi myös kehitettävä ja pantava täytäntöön strategioita näiden havaittujen puutteiden korjaamiseksi.

Organisaation on laadittava ja dokumentoitava kriteerit, jotka koskevat sen suuren riskin tekoälyjärjestelmissä käytettäviä koulutus-, validointi- ja testaustietoaineistoja. Dokumentoinnissa olisi määriteltävä, mikä on järjestelmän käyttötarkoituksen kannalta sopiva tiedon laatu. Tähän sisältyy tietojen relevanssia, edustavuutta, täydellisyyttä ja tilastollisia ominaisuuksia koskevien vaatimusten määrittely sen varmistamiseksi, että tiedot soveltuvat tarkoitukseensa ja että harhat on minimoitu.

Organisaation on otettava käyttöön prosessit, joilla tunnistetaan ja sisällytetään erityisiä maantieteellisiä, kontekstuaalisia, käyttäytymiseen liittyviä tai toiminnallisia ominaisuuksia tekoälyjärjestelmissä käytettäviin tietokokonaisuuksiin. Näin varmistetaan, että tietokokonaisuudet kuvastavat tarkasti tekoälyjärjestelmän aiottua toimintaympäristöä, joka on oikeassa suhteessa sen tarkoitukseen.

Kun organisaatio käsittelee erityisiin henkilötietoryhmiin kuuluvia henkilötietoja virheiden havaitsemiseksi ja korjaamiseksi suuren riskin tekoälyjärjestelmissä, sen olisi varmistettava, että käsittelytoimia koskevissa tallenteissa dokumentoidaan selkeästi tällaisen käsittelyn ehdoton välttämättömyys. Asiakirjoissa olisi myös selvitettävä, miksi puolueellisuuden havaitsemisen ja korjaamisen tavoitetta ei voitu saavuttaa käsittelemällä muunlaisia tietoja, kuten synteettisiä tai anonymisoituja tietoja.

Näiden tietojen saatavuutta olisi valvottava tiukasti. Pääsy olisi dokumentoitava sen varmistamiseksi, että se on rajoitettu valtuutettuihin henkilöihin, joilla on salassapitovelvollisuus. Muiden osapuolten olisi ehdottomasti kiellettävä tällaisten tietojen toimittaminen, siirtäminen tai käyttö.

Organisaation olisi laadittava ja pantava täytäntöön selkeä toimintatapa ja menettely tekoälyvirheiden havaitsemista ja korjaamista varten käsiteltävien erityisten henkilötietoryhmien poistamista varten. Nämä tiedot olisi poistettava viipymättä, kun harha on korjattu tai kun määritelty säilytysaika on kulunut, sen mukaan, kumpi tapahtuu ensin. Menettelyllä olisi varmistettava asiaankuuluvien tietosuojasäännösten ja sisäisten säilytysaikataulujen noudattaminen.

Organisaation olisi toteutettava teknisiä valvontatoimia ja määrityksiä sen varmistamiseksi, että henkilötietojen erityisryhmiin, joita käsitellään virheiden havaitsemiseksi ja korjaamiseksi suuren riskin tekoälyjärjestelmissä, sovelletaan tiukkoja rajoituksia, jotka koskevat niiden uudelleenkäyttöä määritellyn käyttötarkoituksen ulkopuolella.

Organisaation olisi luotava prosessi testidatan hallinnoimiseksi sellaisten suuren riskin tekoälyjärjestelmien osalta, joita ei ole kehitetty käyttämällä mallien koulutustekniikoita. Prosessilla olisi varmistettava, että testidatat ovat merkityksellisiä, edustavia, täydellisiä ja virheettömiä, jotta järjestelmän suorituskyky, turvallisuus ja vaatimustenmukaisuus voidaan validoida asianmukaisesti.

Organisaation on luotava prosessi suuren riskin tekoälyjärjestelmiensä jatkuvaa testausta ja validointia varten, jotta mallin virheet voidaan tunnistaa ja korjata. Prosessiin olisi sisällyttävä stressitestauksen kaltaisia toimintoja, ääritapausten tunnistamista ja tahattoman käyttäytymisen tarkistamista. Kaikki havaitut puutteet olisi dokumentoitava, niiden riskit olisi arvioitava ja olisi laadittava korjaussuunnitelma mallin eheyden ja kestävyyden varmistamiseksi.

Rahoituslaitosten, jotka tarjoavat suuren riskin tekoälyjärjestelmiä ja joihin sovelletaan unionin rahoituspalvelulainsäädäntöä, joka koskee sisäistä hallintoa, järjestelyjä tai prosesseja, olisi varmistettava, että näistä tekoälyjärjestelmistä automaattisesti syntyvät lokit säilytetään olennaisena osana kyseisessä rahoituspalvelulainsäädännössä vaadittua dokumentaatiota. Näin varmistetaan finanssilaitoksia koskevien erityisten sääntelypuitteiden noudattaminen.

Organisaation on laadittava, dokumentoitava ja ylläpidettävä menettelyjä koulutuksen, validoinnin ja testauksen hallintaa varten sen varmistamiseksi, että ne soveltuvat järjestelmän aiottuun tarkoitukseen. Prosessiin tulisi sisältyä mahdollisten harhojen ja muiden tietorajoitusten havaitseminen, dokumentointi ja lieventäminen. Näissä menettelyissä olisi määriteltävä, miten tiedot:

• kerätään ja hankitaan
• tallennetaan ja säilytetään
• käsitellään ja muunnetaan
• varmistetaan laatu, eheys ja edustavuus.
• miten tiedossa olevat rajoitukset tai vääristymät vaikuttavat tietoihin.
• turvattu luvattomalta käytöltä tai väärinkäytöltä.
• käsitellään yksityisyyden suojaa koskevien säännösten ja eettisten näkökohtien mukaisesti.

Organisaation olisi varmistettava, että tiedonhallintamenettelyjä sovelletaan johdonmukaisesti koko tekoälyjärjestelmien kehittämisen elinkaaren ajan, jotta voidaan tukea vastuullista ja tehokasta tekoälyn kehittämistä.

Organisaation on määriteltävä ja dokumentoitava kriteerit, joiden perusteella tiedonvalmistusmenetelmät valitaan. Dokumentoinnin olisi myös sisällettävä erityiset menetelmät, joita organisaatio käyttää tietojen valmisteluun, jotta varmistetaan tekoälyjärjestelmien tietojenkäsittelyn johdonmukaisuus ja tehokkuus.

GPAI-mallien tarjoajien olisi dokumentoitava ilmaisten ja avoimen lähdekoodin lisenssien käyttö tekoälymallien kehittämisessä, muokkaamisessa ja jakelussa.

Dokumentoinnin tulisi kattaa vähintään seuraavat asiat

• Lisenssiehdot ja niiden yhteensopivuus vapaan ja avoimen lähdekoodin lisensoinnin kriteerien kanssa.
• niiden velvoitteiden laajuus, joita sovelletaan edelleen poikkeuksesta huolimatta.
• perustelut dokumentaation julkistamisen rajoittamiselle tai mukauttamiselle.
• Arvio siitä, onko avoimen lähdekoodin lisenssillä julkaistavaan malliin systeemiriski.

Organisaation olisi määriteltävä ja toteutettava kyberturvallisuustoimenpiteet yleiskäyttöisten tekoälymalliensa suojaamiseksi järjestelmäriskin avulla. Tähän sisältyy suojautuminen uhkia vastaan sekä itse mallin että sitä tukevan fyysisen infrastruktuurin osalta.

Organisaatio on määritellyt sopivat keinot tuotosten tunnistamiseksi silloin, kun on tarpeen varmistaa tuotteiden ja palvelujen vaatimustenmukaisuus. Tähän voi kuulua yksilöllisten tunnisteiden, kuten sarjanumeroiden, eräkoodien tai fyysisten etikettien osoittaminen tuotteille tai erille.

Organisaation on myös yksilöitävä tuotosten tila suhteessa seuranta- ja mittausvaatimuksiin koko tuotannon ja palvelun tarjonnan ajan.

Kun jäljitettävyys on vaatimus, organisaation on myös määriteltävä tuotosten yksilöllisen tunnistamisen valvonta ja säilytettävä jäljitettävyyden mahdollistamiseksi tarvittavat dokumentoitu tieto.

Organisaation on otettava käyttöön ja dokumentoitava tietojen valmisteluprosessi sen varmistamiseksi, että tietokokonaisuudet ovat mahdollisimman virheettömiä ja täydellisiä. Prosessissa olisi määriteltävä menettelyt tietovirheiden tunnistamiseksi ja korjaamiseksi. Siinä olisi myös määriteltävä, miten puuttuvia tai epätäydellisiä tietoja käsitellään tavalla, joka vastaa tekoälyjärjestelmän käyttötarkoitusta ja minimoi vääristymät.

Organisaation on suhtauduttava varovaisesti asiakkaiden tai sidosryhmien omaisuuteen (esim. luottamukselliset tiedot, henkilötiedot, materiaalit, komponentit, työkalut, laitteet, tilat, henkinen omaisuus), kun se on organisaation hallinnassa tai kun organisaatio käyttää sitä suuren riskin tekoälyjärjestelmien kehittämisessä. Organisaation olisi kuvattava yleiset säännöt tätä varten.

Jos asiakkaiden tai ulkopuolisten palveluntarjoajien toimittamaa omaisuutta sisällytetään omiin tekoälytuotteisiin/-palveluihin, organisaatiolla on oltava prosessi omaisuuden erillistä tunnistamista, todentamista ja suojaamista varten.

Kun jokin ulkopuolinen omaisuus katoaa, vahingoittuu tai muuten todetaan käyttökelvottomaksi, organisaation on ilmoitettava tästä asiakkaalle tai ulkopuoliselle palveluntarjoajalle ja säilytettävä dokumentoidut tiedot tapahtuneesta.

Organisaation olisi laadittava ja julkaistava yhteenveto sisällöstä, jota se käyttää yleiskäyttöisten tekoälymallien kouluttamiseen. Yhteenvedossa olisi annettava yksityiskohtainen yleiskatsaus tietolähteistä ja koulutustietoaineiston koostumuksesta tekoälyviraston tarjoaman mallin mukaisesti.