Rozdział 9 - MONITOROWANIE PO WPROWADZENIU DO OBROTU, WYMIANA INFORMACJI ORAZ NADZÓR RYNKU - Rozporządzenie 2024/1689 w sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji oraz zmiany rozporządzeń (WE) nr 300/2008, (UE) nr 167/2013, (UE) nr 168/2013, (UE) 2018/858, (UE) 2018/1139 i (UE) 2019/2144 oraz dyrektyw 2014/90/UE, (UE) 2016/797 i (UE) 2020/1828 (akt w sprawie sztucznej inteligencji)Tekst mający znaczenie dla EOG
Dzienniki UE
Dz.U.UE.L.2024.1689
Akt oczekujący Wersja od: 12 lipca 2024 r.
ROZDZIAŁ IX
MONITOROWANIE PO WPROWADZENIU DO OBROTU, WYMIANA INFORMACJI ORAZ NADZÓR RYNKU
MONITOROWANIE PO WPROWADZENIU DO OBROTU, WYMIANA INFORMACJI ORAZ NADZÓR RYNKU
Monitorowanie po wprowadzeniu do obrotu
Monitorowanie po wprowadzeniu do obrotu
Prowadzone przez dostawców monitorowanie po wprowadzeniu do obrotu i plan monitorowania systemów AI wysokiego ryzyka po ich wprowadzeniu do obrotu
1.
Dostawcy ustanawiają i dokumentują - w sposób proporcjonalny do charakteru technologii AI i ryzyka związanego z wykorzystaniem danego systemu AI wysokiego ryzyka - system monitorowania po wprowadzeniu do obrotu.2.
W ramach systemu monitorowania po wprowadzeniu do obrotu w aktywny i systematyczny sposób zbiera się, dokumentuje i analizuje stosowne dane dotyczące skuteczności działania systemów AI wysokiego ryzyka w całym cyklu ich życia, które to dane mogą być przekazywane przez podmioty stosujące lub mogą być zbierane z innych źródeł; system ten pozwala dostawcy oceniać, czy zapewniona jest ciągła zgodność systemów AI z wymogami ustanowionymi w rozdziale III sekcja 2. W stosownych przypadkach monitorowanie po wprowadzeniu do obrotu obejmuje analizę interakcji z innymi systemami AI. Obowiązek ten nie obejmuje wrażliwych danych operacyjnych podmiotów stosujących będących organami ścigania.3.
System monitorowania po wprowadzeniu do obrotu jest oparty na planie monitorowania po wprowadzeniu do obrotu. Plan monitorowania po wprowadzeniu do obrotu stanowi jeden z elementów dokumentacji technicznej, o której mowa w załączniku IV. Do dnia 2 lutego 2026 r. Komisja przyjmuje akt wykonawczy zawierające szczegółowe przepisy określające wzór planu monitorowania po wprowadzeniu do obrotu oraz wykaz elementów, które należy zawrzeć w tym planie. Ten akt wykonawczy przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 98 ust. 2.4.
W odniesieniu do systemów AI wysokiego ryzyka objętych unijnym prawodawstwem harmonizacyjnym wymienionym w załączniku I sekcja A, w przypadku gdy zgodnie z tym prawodawstwem ustanowiono już system i plan monitorowania po wprowadzeniu do obrotu, w celu zapewnienia spójności, unikania powielania prac i zminimalizowania dodatkowych obciążeń, dostawcy mogą się w stosownych przypadkach zdecydować na zintegrowanie - korzystając ze wzoru, o którym mowa w ust. 3 - niezbędnych elementów opisanych w ust. 1, 2 i 3 z systemami i planami istniejącymi już na podstawie tego prawodawstwa, pod warunkiem że zapewnia ono równoważny poziom ochrony.Akapit pierwszy niniejszego artykułu stosuje się również do systemów AI wysokiego ryzyka, o których mowa w załączniku III pkt 5, wprowadzonych do obrotu lub oddanych do użytku przez instytucje finansowe objęte na podstawie przepisów prawa Unii dotyczących usług finansowych wymogami dotyczącymi ich systemu zarządzania wewnętrznego, uzgodnień lub procedur.
Wymiana informacji na temat poważnych incydentów
Wymiana informacji na temat poważnych incydentów
Zgłaszanie poważnych incydentów
1.
Dostawcy systemów AI wysokiego ryzyka wprowadzonych do obrotu na rynku Unii zgłaszają wszelkie poważne incydenty organom nadzoru rynku tego państwa członkowskiego, w którym wystąpił dany incydent.2.
Zgłoszenia, o którym mowa w ust. 1, dokonuje się natychmiast po ustaleniu przez dostawcę związku przyczynowego między systemem AI a poważnym incydentem lub dostatecznie wysokiego prawdopodobieństwa wystąpienia takiego związku, nie później jednak niż w terminie 15 dni od dnia, w którym dostawca lub, w stosownych przypadkach, podmiot stosujący dowiedzieli się o wystąpieniu poważnego incydentu.Termin na dokonanie zgłoszenia, o którym mowa w akapicie pierwszym, uwzględnia dotkliwość danego poważnego incydentu.
3.
Niezależnie od ust. 2 niniejszego artykułu w przypadku powszechnego naruszenia lub poważnego incydentu zdefiniowanego w art. 3 pkt 49 lit. b) zgłoszenia, o którym mowa w ust. 1 niniejszego artykułu, dokonuje się natychmiast, nie później jednak niż w terminie dwóch dni od dnia, w którym dostawca lub, w stosownych przypadkach, podmiot stosujący dowiedzieli się o wystąpieniu tego incydentu.4.
Niezależnie od ust. 2 w przypadku gdy nastąpi śmierć osoby, zgłoszenia dokonuje się natychmiast po stwierdzeniu przez dostawcę lub podmiot stosujący wystąpienia lub podejrzenia wystąpienia związku przyczynowego między systemem AI wysokiego ryzyka a poważnym incydentem, nie później jednak niż w terminie 10 dni od dnia, w którym dostawca lub, w stosownych przypadkach, podmiot stosujący AI dowiedzieli się o wystąpieniu danego poważnego incydentu.5.
W przypadku gdy jest to konieczne do zapewnienia terminowego zgłoszenia, dostawca lub, w stosownych przypadkach, podmiot stosujący mogą dokonać niepełnego zgłoszenia wstępnego, a następnie zgłoszenia kompletnego.6.
W następstwie zgłoszenia poważnego incydentu zgodnie z ust. 1 dostawca niezwłocznie przeprowadza niezbędne postępowanie wyjaśniające dotyczące poważnego incydentu oraz przedmiotowego systemu AI. Obejmuje ono ocenę ryzyka danego incydentu oraz działania naprawcze.Podczas postępowania wyjaśniającego, o którym mowa w akapicie pierwszym, dostawca współpracuje z właściwymi organami oraz - w stosownych przypadkach - z zainteresowaną jednostką notyfikowaną i nie podejmuje żadnego działania, które obejmowałoby zmianę danego systemu AI w taki sposób, który mógłby wpłynąć na późniejszą ocenę przyczyn incydentu, dopóki nie poinformuje o takim działaniu właściwego organu.
7.
Po otrzymaniu zgłoszenia dotyczącego poważnego incydentu, o którym mowa w art. 3 pkt 49 lit. c), odpowiedni organ nadzoru rynku informuje o tym krajowe organy lub podmioty publiczne, o których mowa w art. 77 ust. 1. Komisja opracowuje specjalne wskazówki ułatwiające spełnienie obowiązków ustanowionych w ust. 1 niniejszego artykułu. Wskazówki wydaje się do dnia 2 sierpnia 2025 r. i podlegają one regularnej ocenie.8.
W terminie siedmiu dni od daty otrzymania powiadomienia, o którym mowa w ust. 1 niniejszego artykułu, organ nadzoru rynku podejmuje odpowiednie środki przewidziane w art. 19 rozporządzenia (UE) 2019/1020 i postępuje zgodnie z procedurami powiadamiania przewidzianymi w tym rozporządzeniu.9.
W przypadku systemów AI wysokiego ryzyka, o których mowa w załączniku III, wprowadzanych do obrotu lub oddawanych do użytku przez dostawców podlegających unijnym instrumentom prawnym ustanawiającym obowiązki w zakresie zgłaszania równoważne obowiązkom określonym w niniejszym rozporządzeniu, zgłaszanie poważnych incydentów ogranicza się do tych z nich, o których mowa w art. 3 pkt 49 lit. c).10.
W przypadku systemów AI wysokiego ryzyka, które są związanymi z bezpieczeństwem elementami wyrobów podlegających przepisom rozporządzeń (UE) 2017/745 i (UE) 2017/746, lub które same są takimi wyrobami, zgłaszanie poważnych incydentów ogranicza się do incydentów, o których mowa w art. 3 pkt 49) lit. c) niniejszego rozporządzenia, i dokonuje się go do właściwego organu krajowego wybranego do tego celu przez państwo członkowskie, w którym wystąpił dany incydent.11.
Właściwe organy krajowe natychmiast powiadamiają Komisję o każdym poważnym incydencie zgodnie z art. 20 rozporządzenia (UE) 2019/1020, niezależnie od tego, czy podjęły w związku z nim jakiekolwiek działania.
Egzekwowanie
Egzekwowanie
Nadzór rynku i kontrola systemów AI na rynku Unii
1.
Do systemów AI objętych niniejszym rozporządzeniem stosuje się przepisy rozporządzenia (UE) 2019/1020. Do celów skutecznego egzekwowania przepisów niniejszego rozporządzenia:a)
wszelkie odniesienia do podmiotu gospodarczego w rozporządzeniu (UE) 2019/1020 należy rozumieć jako obejmujące wszystkich operatorów zidentyfikowanych w art. 2 ust. 1 niniejszego rozporządzenia;b)
wszelkie odniesienia do produktu w rozporządzeniu (UE) 2019/1020 należy rozumieć jako obejmujące wszystkie systemy AI wchodzące w zakres stosowania niniejszego rozporządzenia.2.
W ramach swoich obowiązków w zakresie sprawozdawczości określonych w art. 34 ust. 4 rozporządzenia (UE) 2019/1020 organy nadzoru rynku co roku przekazują Komisji i odpowiednim krajowym organom ochrony konkurencji wszelkie informacje zebrane w wyniku działań w zakresie nadzoru rynku, które potencjalnie mogą być istotne z punktu widzenia stosowania reguł konkurencji przewidzianych w prawie Unii. Co roku składają one sprawozdania również Komisji dotyczące stwierdzonego w danym roku stosowania zakazanych praktyk oraz podjętych w tym względzie środków.3.
W przypadku systemów AI wysokiego ryzyka, które są powiązane z produktami objętymi unijnym prawodawstwem harmonizacyjnym wymienionym w załączniku I sekcja A, za organ nadzoru rynku do celów niniejszego rozporządzenia uznaje się odpowiedzialny za działania w zakresie nadzoru rynku organ wyznaczony na podstawie tych aktów prawnych.W drodze odstępstwa od akapitu pierwszego i w odpowiednich okolicznościach państwa członkowskie mogą wyznaczyć do działania w charakterze organu nadzoru rynku inny odpowiedni organ, pod warunkiem że zapewnią koordynację między odpowiednimi sektorowymi organami nadzoru rynku odpowiedzialnymi za egzekwowanie unijnego prawodawstwa harmonizacyjnego wymienionego w załączniku I.
4.
Procedur, o których mowa w art. 79-83 niniejszego rozporządzenia, nie stosuje się do systemów AI, które są powiązane z produktami objętymi unijnym prawodawstwem harmonizacyjnym wymienionym w załączniku I sekcja A, w przypadku gdy w tych aktach prawnych przewidziano już procedury zapewniające równoważny poziom ochrony i mające taki sam cel. W takich przypadkach stosuje się procedury sektorowe.5.
Bez uszczerbku dla uprawnień organów nadzoru rynku na podstawie art. 14 rozporządzenia (UE) 2019/1020 do celów zapewnienia skutecznego egzekwowania przepisów niniejszego rozporządzenia organy nadzoru rynku mogą w stosownych przypadkach wykonywać uprawnienia, o których mowa w art. 14 ust. 4 lit. d) i j) tego rozporządzenia, w sposób zdalny.6.
W przypadku systemów AI wysokiego ryzyka wprowadzonych do obrotu, oddanych do użytku lub wykorzystywanych przez instytucje finansowe podlegające przepisom prawa Unii dotyczącym usług finansowych organem nadzoru rynku do celów niniejszego rozporządzenia jest odpowiedni organ krajowy odpowiedzialny na mocy tych przepisów prawa za nadzór finansowy nad tymi instytucjami, w zakresie, w jakim wprowadzanie do obrotu, oddawanie do użytku lub wykorzystywanie danego systemu AI jest bezpośrednio związane ze świadczeniem tych usług finansowych.7.
W drodze odstępstwa od ust. 6, w odpowiednich okolicznościach i pod warunkiem zapewnienia koordynacji, państwo członkowskie może do celów niniejszego rozporządzenia wyznaczyć inny odpowiedni organ jako organ nadzoru rynku.Krajowe organy nadzoru rynku nadzorujące instytucje kredytowe uregulowane w dyrektywie 2013/36/UE, które uczestniczą w jednolitym mechanizmie nadzorczym ustanowionym rozporządzeniem (UE) nr 1024/2013, powinny niezwłocznie przekazywać Europejskiemu Bankowi Centralnemu wszelkie informacje zebrane w trakcie prowadzonych przez siebie działań w zakresie nadzoru rynku, które potencjalnie mogą mieć znaczenie z punktu widzenia określonych w tym rozporządzeniu zadań EBC dotyczących nadzoru ostrożnościowego.
8.
W odniesieniu do systemów AI wysokiego ryzyka wymienionych w załączniku III pkt 1 do niniejszego rozporządzenia, w zakresie, w jakim systemy te są wykorzystywane do celów ścigania przestępstw, kontroli granicznej oraz w kontekście wymiaru sprawiedliwości i demokracji, oraz w odniesieniu do systemów AI wysokiego ryzyka wymienionych w załączniku III pkt 6, 7 i 8 niniejszego rozporządzenia, państwa członkowskie wyznaczają jako organy nadzoru rynku do celów niniejszego rozporządzenia właściwe organy nadzorcze ds. ochrony danych na podstawie rozporządzenia (UE) 2016/679 lub dyrektywy (UE) 2016/680 albo inne organy wyznaczone zgodnie z tymi samymi warunkami ustanowionymi w art. 41-44 dyrektywy (UE) 2016/680. Działania w zakresie nadzoru rynku nie mogą w żaden sposób wpływać na niezależność organów wymiaru sprawiedliwości, ani w żaden inny sposób zakłócać ich czynności związanych ze sprawowaniem przez nie wymiaru sprawiedliwości.9.
W przypadku gdy zakresem stosowania niniejszego rozporządzenia objęte są instytucje, organy i jednostki organizacyjne Unii, Europejski Inspektor Ochrony Danych działa w stosunku do nich w charakterze organu nadzoru rynku, z wyjątkiem Trybunał Sprawiedliwości Unii Europejskiej w przypadkach sprawowania przez niego sprawiedliwości.10.
Państwa członkowskie ułatwiają koordynację działań między organami nadzoru rynku wyznaczonymi na podstawie niniejszego rozporządzenia a innymi odpowiednimi organami lub podmiotami krajowymi sprawującymi nadzór nad stosowaniem unijnego prawodawstwa harmonizacyjnego wymienionego w załączniku I lub w innych przepisach prawa Unii, które mogą być istotne w kontekście systemów AI wysokiego ryzyka, o których mowa w załączniku III.11.
Organy nadzoru rynku i Komisja mogą proponować wspólne działania, w tym wspólne postępowania, prowadzone przez organy nadzoru rynku albo przez organy nadzoru rynku wspólnie z Komisją, mające na celu promowanie zgodności, wykrywanie przypadków niezgodności, podnoszenie świadomości lub zapewnianie wskazówek dotyczących niniejszego rozporządzenia w odniesieniu do szczególnych kategorii systemów AI wysokiego ryzyka, w przypadku których zgodnie z art. 9 rozporządzenia (UE) 2019/1020 stwierdzono, że stwarzają poważne ryzyko w co najmniej dwóch państwach członkowskich. Urząd ds. AI zapewnia wsparcie w zakresie koordynacji wspólnych postępowań.12.
Bez uszczerbku dla uprawnień przewidzianych w rozporządzeniu (UE) 2019/1020 oraz w stosownych przypadkach i w zakresie ograniczonym do tego, co jest niezbędne do wykonywania ich zadań, dostawcy udzielają organom nadzoru rynku pełnego dostępu do dokumentacji, a także do zbiorów danych treningowych, walidacyjnych i testowych wykorzystywanych do rozwoju systemów AI wysokiego ryzyka, w tym, w stosownych przypadkach i z zastrzeżeniem gwarancji bezpieczeństwa, za pośrednictwem interfejsów programowania aplikacji (API) lub innych odpowiednich środków i narzędzi technicznych umożliwiających zdalny dostęp.13.
Organom nadzoru rynku udziela się na ich uzasadniony wniosek dostępu do kodu źródłowego systemu AI wysokiego ryzyka i wyłącznie wtedy, gdy spełnione są oba następujące warunki:a)
dostęp do kodu źródłowego jest niezbędny do oceny zgodności systemu AI wysokiego ryzyka z wymogami ustanowionymi w rozdziale III sekcja 2; orazb)
zostały wyczerpane lub okazały się niewystarczające procedury testowania lub audytu i weryfikacji w oparciu o dane i dokumentację dostarczone przez dostawcę.14.
Wszelkie informacje lub dokumenty uzyskane przez organy nadzoru rynku traktuje się zgodnie z obowiązkami dotyczącymi poufności określonymi w art. 78.Wzajemna pomoc, nadzór rynku i kontrola systemów AI ogólnego przeznaczenia
1.
W przypadku gdy system AI jest oparty na modelu AI ogólnego przeznaczenia i ten model i system zostały rozwinięte przez tego samego dostawcę, Urząd ds. AI jest uprawniony do monitorowania i nadzorowania zgodności tego systemu AI z obowiązkami wynikającymi z niniejszego rozporządzenia. Do celów wykonywania zadań w zakresie monitorowania i nadzoru Urząd ds. AI ma uprawnienia organu nadzoru rynku przewidziane w niniejszej sekcji i w rozporządzeniu (UE) 2019/1020.2.
W przypadku gdy odpowiednie organy nadzoru rynku mają wystarczające powody, by systemy AI ogólnego przeznaczenia, które mogą być wykorzystywane bezpośrednio przez podmioty stosujące do co najmniej jednego celu, który zgodnie z niniejszym rozporządzeniem został zaklasyfikowany jako wysokiego ryzyka, uznać za niezgodne z wymogami ustanowionymi w niniejszym rozporządzeniu, organy te współpracują z Urzędem ds. AI w zakresie przeprowadzenia ocen zgodności i informują o tym odpowiednio Radę ds. AI i pozostałe organy nadzoru rynku.3.
W przypadku gdy organ nadzoru rynku nie jest w stanie zakończyć postępowania dotyczącego systemu AI wysokiego ryzyka z uwagi na niemożność dostępu do niektórych informacji związanych z danym modelem AI ogólnego przeznaczenia pomimo podjęcia wszystkich stosownych wysiłków w zakresie uzyskania tych informacji, może zwrócić się z uzasadnionym wnioskiem do Urzędu ds. AI, który wyegzekwuje dostęp do takich informacji. W takim przypadku Urząd ds. AI udziela organowi wnioskującemu niezwłocznie, a w każdym razie w terminie 30 dni, wszelkich informacji, które Urząd ds. AI uznaje za istotne do celów ustalenia, czy dany system AI wysokiego ryzyka jest niezgodny z wymogami. Organy nadzoru rynku zapewniają poufność otrzymywanych informacji zgodnie z art. 78 niniejszego rozporządzenia. Odpowiednio stosuje się procedurę przewidzianą w rozdziale VI rozporządzenia (UE) 2019/1020.Nadzór organów nadzoru rynku nad testami w warunkach rzeczywistych
1.
Organy nadzoru rynku mają kompetencje i uprawnienia w celu zapewnienia, by testy w warunkach rzeczywistych odbywały się zgodnie z niniejszym rozporządzeniem.2.
W przypadku testów w warunkach rzeczywistych prowadzonych na systemach AI nadzorowanych w ramach piaskownicy regulacyjnej w zakresie AI na podstawie art. 58 organy nadzoru rynku weryfikują zgodność z art. 60 w ramach swojej roli nadzorczej w odniesieniu do piaskownicy regulacyjnej w zakresie AI. Organy te mogą, w stosownych przypadkach, zezwolić na prowadzenie przez dostawcę lub potencjalnego dostawcę testów w warunkach rzeczywistych z zastosowaniem odstępstwa od warunków ustanowionych w art. 60 ust. 4 lit. f) i g).3.
W przypadku gdy organ nadzoru rynku został przez potencjalnego dostawcę, dostawcę lub stronę trzecią poinformowany o poważnym incydencie lub ma podstawy sądzić, że nie są spełniane warunki ustanowione w art. 60 i 61, może na swoim terytorium podjąć w stosownych przypadkach którąkolwiek z następujących decyzji:a)
zawiesić lub zakończyć testy w warunkach rzeczywistych;b)
zobowiązać dostawcę lub potencjalnego dostawcę oraz podmiot stosujący i potencjalny podmiot stosujący do zmiany któregokolwiek aspektu testów w warunkach rzeczywistych.4.
W przypadku gdy organ nadzoru rynku podjął decyzję, o której mowa w ust. 3 niniejszego artykułu, lub zgłosił sprzeciw w rozumieniu art. 60 ust. 4 lit. b), w decyzji lub sprzeciwie podaje się ich uzasadnienie oraz warunki, na jakich dostawca lub potencjalny dostawca mogą zaskarżyć tę decyzję lub sprzeciw.5.
W przypadku gdy organ nadzoru rynku podjął decyzję, o której mowa w ust. 3, informuje w stosownych przypadkach o powodach takiej decyzji organy nadzoru rynku pozostałych państw członkowskich, w których dany system AI był testowany zgodnie z planem testów.Uprawnienia organów ochrony praw podstawowych
1.
Krajowe organy lub podmioty publiczne, które nadzorują lub egzekwują przestrzeganie obowiązków wynikających z prawa Unii w zakresie ochrony praw podstawowych, w tym prawa do niedyskryminacji, w odniesieniu do wykorzystywania systemów AI wysokiego ryzyka, o których mowa w załączniku III, są uprawnione do wystąpienia z wnioskiem o przedstawienie wszelkiej dokumentacji sporządzonej lub prowadzonej na podstawie niniejszego rozporządzenia w przystępnym języku i formacie i uzyskania do niej dostępu, kiedy dostęp do tej dokumentacji jest im niezbędny do skutecznego wypełniania ich mandatów w granicach ich właściwości. Odpowiedni organ lub podmiot publiczny informuje organ nadzoru rynku zainteresowanego państwa członkowskiego o każdym takim wniosku.2.
Do dnia 2 listopada 2024 r. każde państwo członkowskie wskazuje organy lub podmioty publiczne, o których mowa w ust. 1, i podaje ich wykaz do wiadomości publicznej. Państwa członkowskie przekazują ten wykaz Komisji i pozostałym państwom członkowskim oraz na bieżąco go aktualizują.3.
W przypadku gdy dokumentacja, o której mowa w ust. 1, jest niewystarczająca do stwierdzenia, czy nastąpiło naruszenie obowiązków wynikających z prawa Unii w zakresie ochrony praw podstawowych, organ lub podmiot publiczny, o którym mowa w ust. 1, może wystąpić do organu nadzoru rynku z uzasadnionym wnioskiem o zorganizowanie testów systemu AI wysokiego ryzyka przy użyciu środków technicznych. Organ nadzoru rynku w rozsądnym terminie po otrzymaniu wniosku organizuje testy w ścisłej współpracy z organem lub podmiotem publicznym, które wystąpiły z wnioskiem.4.
Wszelkie informacje lub dokumenty uzyskane zgodnie z niniejszym artykułem przez krajowe organy lub podmioty publiczne, o których mowa w ust. 1 niniejszego artykułu, traktuje się zgodnie z obowiązkami dotyczącymi poufności określonymi w art. 78.Poufność
1.
Komisja, organy nadzoru rynku i jednostki notyfikowane oraz wszelkie inne osoby fizyczne lub prawne zaangażowane w stosowanie niniejszego rozporządzenia przestrzegają, zgodnie z prawem Unii lub prawem krajowym, poufności informacji i danych uzyskanych podczas wykonywania swoich zadań i swojej działalności, aby w szczególności chronić:a)
prawa własności intelektualnej oraz poufne informacje handlowe lub tajemnice przedsiębiorstwa osoby fizycznej lub prawnej, w tym kod źródłowy, z wyjątkiem przypadków, o których mowa w art. 5 dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/943 57 ;b)
skuteczne wdrożenie niniejszego rozporządzenia, w szczególności na potrzeby kontroli, postępowań lub audytów;c)
interesy bezpieczeństwa publicznego i narodowego;d)
przebieg postępowań karnych i administracyjnych;e)
informacje niejawne zgodnie z prawem Unii lub prawem krajowym.2.
Organy zaangażowane w stosowanie niniejszego rozporządzenia zgodnie z ust. 1 zwracają się z wnioskiem o przedstawienie wyłącznie takich danych, które są im bezwzględnie konieczne do oceny ryzyka stwarzanego przez systemy AI i do wykonywania ich uprawnień zgodnie z niniejszym rozporządzeniem i z rozporządzeniem (UE) 2019/1020. Wprowadzają one odpowiednie i skuteczne środki w zakresie cyberbezpieczeństwa, aby chronić bezpieczeństwo i poufność uzyskanych informacji i danych oraz usuwają zebrane dane, gdy tylko przestaną one być potrzebne do celu, w jakim je uzyskano, zgodnie z mającym zastosowanie prawem Unii lub prawem krajowym.3.
Bez uszczerbku dla ust. 1 i 2, informacji wymienianych na zasadzie poufności między właściwymi organami krajowymi oraz między właściwymi organami krajowymi a Komisją nie można ujawniać bez uprzedniej konsultacji z właściwym organem krajowym, który je przekazał, oraz z podmiotem stosującym, w przypadku gdy systemy AI wysokiego ryzyka, o których mowa w załączniku III pkt 1, 6 i 7, wykorzystują organy ścigania, organy kontroli granicznej, organy imigracyjne lub organy azylowe, jeżeli takie ujawnienie mogłoby zagrozić interesom bezpieczeństwa publicznego i narodowego. Ta wymiana informacji nie obejmuje wrażliwych danych operacyjnych związanych z działaniami organów ścigania, organów kontroli granicznej, organów imigracyjnych lub azylowych.Jeżeli dostawcami systemów AI wysokiego ryzyka, o których mowa w załączniku III pkt 1, 6 lub 7, są organy ścigania, organy imigracyjne lub organy azylowe, dokumentację techniczną, o której mowa w załączniku IV, przechowuje się w siedzibie tych organów. Organy te zapewniają, aby organy nadzoru rynku, o których mowa odpowiednio w art. 74 ust. 8 i 9, mogły uzyskać na wniosek natychmiastowy dostęp do tej dokumentacji lub otrzymać jej kopię. Dostęp do tej dokumentacji lub jej kopii zastrzeżony jest wyłączenia dla pracowników organu nadzoru rynku posiadających poświadczenie bezpieczeństwa na odpowiednim poziomie.
4.
Ust. 1, 2 i 3 nie mają wpływu na prawa i obowiązki Komisji, państw członkowskich i ich odpowiednich organów, a także jednostek notyfikowanych, w zakresie wymiany informacji i rozpowszechnianie ostrzeżeń, w tym w kontekście współpracy transgranicznej; nie mają one również wpływu na obowiązki zainteresowanych stron w zakresie udzielania informacji zgodnie z prawem karnym państw członkowskich.5.
Komisja i państwa członkowskie mogą, w razie potrzeby i zgodnie z odpowiednimi postanowieniami umów międzynarodowych i handlowych, wymieniać informacje poufne z organami regulacyjnymi państw trzecich, z którymi zawarły dwustronne lub wielostronne porozumienia o poufności gwarantujące odpowiedni stopień poufności.Procedura postępowania na poziomie krajowym w przypadku systemów AI stwarzających ryzyko
1.
Systemy AI stwarzające ryzyko uznaje się za "produkt stwarzający ryzyko" w rozumieniu art. 3 pkt 19 rozporządzenia (UE) 2019/1020 w zakresie, w jakim stwarzane przez nie ryzyko dotyczy zdrowia i bezpieczeństwa lub praw podstawowych osób.2.
W przypadku gdy organ nadzoru rynku państwa członkowskiego ma wystarczające powody, aby uznać, że system AI stwarza ryzyko, o którym mowa w ust. 1 niniejszego artykułu, organ ten przeprowadza ocenę danego systemu AI pod względem jego zgodności ze wszystkimi wymogami i obowiązkami ustanowionymi w niniejszym rozporządzeniu. Szczególną uwagę należy zwrócić na systemy AI stwarzające ryzyko dla grup szczególnie wrażliwych. W przypadku gdy zostanie stwierdzone ryzyko dla praw podstawowych, organ nadzoru rynku informuje o tym również odpowiednie krajowe organy lub podmioty publiczne, o których mowa w art. 77 ust. 1, i współpracuje z nimi w pełnym zakresie. Odpowiedni operatorzy współpracują w razie potrzeby z organem nadzoru rynku i innymi krajowymi organami lub podmiotami publicznymi, o których mowa w art. 77 ust. 1.W przypadku gdy w trakcie tej oceny organ nadzoru rynku lub, w stosownych przypadkach, organ nadzoru rynku we współpracy z krajowym organem publicznym, o którym mowa w art. 77 ust. 1, ustalą, że system AI nie jest zgodny z wymogami i obowiązkami ustanowionymi w niniejszym rozporządzeniu, bez zbędnej zwłoki zobowiązuje odpowiedniego operatora do podjęcia wszelkich odpowiednich działań naprawczych, aby zapewnić zgodność tego systemu AI z wymogami, wycofać ten system z rynku lub z użytku w terminie, który może zostać wyznaczony przez organ nadzoru rynku, a w każdym razie w terminie krótszym niż 15 dni roboczych lub przewidzianym w odpowiednim unijnym prawodawstwie harmonizacyjnym.
Organ nadzoru rynku informuje o tym odpowiednią jednostkę notyfikowaną. Do środków, o których mowa w akapicie drugim niniejszego ustępu, stosuje się art. 18 rozporządzenia (UE) 2019/1020.
3.
W przypadku gdy organ nadzoru rynku uzna, że niezgodność nie ogranicza się do terytorium jego państwa, bez zbędnej zwłoki informuje Komisję i pozostałe państwa członkowskie o wynikach oceny i działaniach, do których podjęcia zobowiązał operatora.4.
Operator zapewnia podjęcie wszelkich odpowiednich działań naprawczych w odniesieniu do wszystkich systemów AI, które udostępnił na rynku Unii.5.
W przypadku niepodjęcia przez operatora systemu AI odpowiednich działań naprawczych w terminie, o którym mowa w ust. 2, organ nadzoru rynku podejmuje wszelkie odpowiednie środki tymczasowe w celu zakazania lub ograniczenia udostępniania lub oddawania do użytku tego systemu AI na podległym mu rynku krajowym, lub w celu wycofania produktu lub samodzielnego systemu AI z tego rynku lub z użytku. Organ ten bez zbędnej zwłoki powiadamia o tych środkach Komisję i pozostałe państwa członkowskie.6.
W powiadomieniu, o którym mowa w ust. 5, zawiera się wszelkie dostępne informacje szczegółowe, w szczególności takie jak informacje niezbędne do identyfikacji niezgodności systemu AI, pochodzenie systemu AI i informacje na temat jego łańcucha dostaw, charakter zarzucanej niezgodności i związanego z nią ryzyka, charakter i okres obowiązywania podjętych środków krajowych oraz argumenty przedstawione przez odpowiedniego operatora. W szczególności organy nadzoru rynku wskazują, czy niezgodność wynika z jednego z następujących czynników:a)
nieprzestrzegania zakazu praktyk w zakresie AI, o których mowa w art. 5;b)
niespełnienia przez system AI wysokiego ryzyka wymogów określonych w rozdziale III sekcja 2;c)
braków w normach zharmonizowanych lub wspólnych specyfikacjach, o których mowa w art. 40 i 41, stanowiących podstawę domniemania zgodności;d)
niezgodności z art. 50.7.
Organy nadzoru rynku inne niż organ nadzoru rynku państwa członkowskiego, w którym wszczęto postępowanie, bez zbędnej zwłoki informują Komisję i pozostałe państwa członkowskie o wszelkich przyjętych środkach i o wszelkich posiadanych dodatkowych informacjach dotyczących niezgodności danego systemu AI, a w przypadku gdy nie zgadzają się ze środkiem krajowym, o którym zostały powiadomione - o swoim sprzeciwie.8.
W przypadku gdy w terminie trzech miesięcy od dnia powiadomienia, o którym mowa w ust. 5 niniejszego artykułu, organ nadzoru rynku jednego z państw członkowskich, ani Komisja nie zgłoszą sprzeciwu wobec środka tymczasowego przyjętego przez organ nadzoru rynku innego państwa członkowskiego, środek ten uznaje się za uzasadniony. Pozostaje to bez uszczerbku dla praw proceduralnych danego operatora określonych w art. 18 rozporządzenia (UE) 2019/1020. Termin trzech miesięcy, o którym mowa w niniejszym ustępie, skraca się do 30 dni w przypadku nieprzestrzegania zakazu praktyk w zakresie AI, o których mowa w art. 5 niniejszego rozporządzenia.9.
Organy nadzoru rynku zapewniają, by bez zbędnej zwłoki zostały podjęte odpowiednie środki ograniczające w odniesieniu do danego produktu lub systemu AI, takie jak wycofanie produktu lub systemu AI z podległego im rynku.Procedura postępowania w przypadku systemów AI zaklasyfikowanych przez dostawcę jako niebędące systemami wysokiego ryzyka w zastosowaniu załącznika III
1.
W przypadku gdy organ nadzoru rynku ma wystarczające powody, by sądzić, że system AI zaklasyfikowany przez dostawcę zgodnie z art. 6 ust. 3 pkt I jako niebędący systemem wysokiego ryzyka jest w istocie systemem wysokiego ryzyka, organ ten przeprowadza ocenę danego systemu AI w zakresie jego klasyfikacji jako system AI wysokiego ryzyka na podstawie warunków ustanowionych w art. 6 ust. 3 i wytycznych Komisji.2.
W przypadku gdy w trakcie tej oceny organ nadzoru rynku ustali, że dany system AI jest systemem wysokiego ryzyka, bez zbędnej zwłoki zobowiązuje danego dostawcę do podjęcia wszystkich działań niezbędnych do osiągnięcia zgodności systemu AI z wymogami i obowiązkami ustanowionymi w niniejszym rozporządzeniu, jak również podjęcia odpowiednich działań naprawczych w terminie, który może zostać wyznaczony przez organ nadzoru rynku.3.
W przypadku gdy organ nadzoru rynku uzna, że wykorzystywanie danego systemu AI nie ogranicza się do terytorium jego państwa, bez zbędnej zwłoki informuje Komisję i pozostałe państwa członkowskie o wynikach oceny i działaniach, do których podjęcia zobowiązał dostawcę.4.
Dostawca zapewnia podjęcie wszystkich działań niezbędnych do zapewnienia zgodności danego systemu AI z wymogami i obowiązkami ustanowionymi w niniejszym rozporządzeniu. W przypadku gdy dostawca danego systemu AI nie zapewni zgodności tego systemu z tymi wymogami i obowiązkami w terminie, o którym mowa w ust. 2 niniejszego artykułu, dostawca ten podlega karom pieniężnym zgodnie z art. 99.5.
Dostawca zapewnia podjęcie wszelkich odpowiednich działań naprawczych w odniesieniu do wszystkich systemów AI, które udostępnił na rynku Unii.6.
W przypadku gdy dostawca danego systemu AI nie podejmie odpowiednich działań naprawczych w terminie, o którym mowa w ust. 2 niniejszego artykułu, stosuje się art. 79 ust. 5-9.7.
W przypadku gdy w trakcie oceny zgodnie z ust. 1 niniejszego artykułu organ nadzoru rynku ustali, że dany system AI został przez dostawcę błędnie zaklasyfikowany jako system niebędący systemem wysokiego ryzyka w celu obejścia stosowania wymogów ustanowionych w rozdziale III sekcja 2, dostawca ten podlega karom pieniężnym zgodnie z art. 99.8.
Wykonując swoje uprawnienia w zakresie monitorowania stosowania niniejszego artykułu oraz zgodnie z art. 11 rozporządzenia (UE) 2019/1020 organy nadzoru rynku mogą przeprowadzać odpowiednie kontrole, uwzględniając w szczególności informacje przechowywane w bazie danych UE, o której mowa w art. 71 niniejszego rozporządzenia.Unijna procedura ochronna
1.
W przypadku gdy w terminie trzech miesięcy od dnia otrzymania powiadomienia, o którym mowa w art. 79 ust. 5, lub w terminie 30 dni w przypadku nieprzestrzegania zakazu praktyk w zakresie AI, o których mowa w art. 5, organ nadzoru rynku jednego z państw członkowskich zgłosi sprzeciw wobec środka podjętego przez inny organ nadzoru rynku lub w przypadku gdy Komisja uzna taki środek za sprzeczny z prawem Unii, Komisja bez zbędnej zwłoki przystępuje do konsultacji z organem nadzoru rynku danego państwa członkowskiego i operatorem lub operatorami i dokonuje oceny takiego środka krajowego. Na podstawie wyników tej oceny Komisja w terminie sześciu miesięcy lub 60 dni - w przypadku nieprzestrzegania zakazu praktyk w zakresie AI, o których mowa w art. 5 - licząc od dnia otrzymania powiadomienia, o którym mowa w art. 79 ust. 5, rozstrzyga, czy środek krajowy jest uzasadniony i powiadamia o swojej decyzji organ nadzoru rynku zainteresowanego państwa członkowskiego. Komisja powiadamia również wszystkie pozostałe krajowe organy nadzoru rynku o swojej decyzji.2.
W przypadku gdy Komisja uzna, że środek podjęty przez dane państwo członkowskie jest uzasadniony, wszystkie państwa członkowskie zapewniają podjęcie bez zbędnej zwłoki odpowiednich środków ograniczających w odniesieniu do danego systemu AI, takich jak zobowiązujące do wycofania tego systemu AI z ich rynku, oraz informują o tym Komisję. W przypadku gdy Komisja uzna środek krajowy za nieuzasadniony, zainteresowane państwo członkowskie cofa dany środek oraz informuje odpowiednio Komisję.3.
W przypadku uznania krajowego środka za uzasadniony i stwierdzenia, że niezgodność systemu AI wynika z braków w normach zharmonizowanych lub wspólnych specyfikacjach, o których mowa w art. 40 i 41 niniejszego rozporządzenia, Komisja stosuje procedurę przewidzianą w art. 11 rozporządzenia (UE) nr 1025/2012.Zgodne systemy AI stwarzające ryzyko
1.
W przypadku gdy po przeprowadzeniu oceny zgodnie z art. 79, po konsultacji z odpowiednim krajowym organem publicznym, o którym mowa w art. 77 ust. 1, organ nadzoru rynku państwa członkowskiego ustali, że chociaż system AI wysokiego ryzyka jest zgodny z niniejszym rozporządzeniem, stwarza jednak ryzyko dla zdrowia lub bezpieczeństwa osób, dla praw podstawowych lub dla innych aspektów ochrony interesu publicznego, organ ten zobowiązuje właściwego operatora do podjęcia bez zbędnej zwłoki wszelkich odpowiednich środków w celu zapewnienia, aby dany system AI po wprowadzeniu do obrotu lub oddaniu do użytku nie stwarzał już takiego ryzyka, w terminie, który może zostać wyznaczony przez ten organ.2.
Dostawca lub inny właściwy operator zapewniają podjęcie działań naprawczych w odniesieniu do wszystkich systemów AI, które udostępnili na rynku Unii, w terminie wyznaczonym przez organ nadzoru rynku państwa członkowskiego, o którym mowa w ust. 1.3.
Państwa członkowskie natychmiast powiadamiają Komisję i pozostałe państwa członkowskie o swoim ustaleniu zgodnie z ust. 1. W powiadomieniu tym zawiera się wszelkie dostępne szczegółowe informacje, w szczególności dane niezbędne do identyfikacji danego systemu AI, pochodzenie systemu AI i informacje na temat jego łańcucha dostaw, charakter przedmiotowego ryzyka oraz charakter i okres obowiązywania podjętych środków krajowych.4.
Komisja bez zbędnej zwłoki przystępuje do konsultacji z zainteresowanymi państwami członkowskim i właściwymi operatorami i ocenia podjęte środki krajowe. Na podstawie wyników tej oceny Komisja podejmuje decyzję, czy środek krajowy jest uzasadniony i w razie potrzeby proponuje inne odpowiednie środki.5.
Komisja natychmiast przekazuje swoją decyzję do zainteresowanych państw członkowskich i operatorów. Komisja powiadamia również pozostałe państwa członkowskie.Niezgodność formalna
1.
Organ nadzoru rynku państwa członkowskiego zobowiązuje właściwego dostawcę do usunięcia niezgodności w terminie, który może zostać wyznaczony przez ten organ, w przypadku gdy ustali, że:a)
oznakowanie CE zostało umieszczone z naruszeniem art. 48;b)
oznakowanie CE nie zostało umieszczone;c)
deklaracja zgodności UE, o której mowa w art. 47, nie została sporządzona;d)
deklaracja zgodności UE, o której mowa w art. 47, została sporządzona nieprawidłowo;e)
rejestracja w bazie danych, o której mowa w art. 71, UE nie została dokonana;f)
upoważniony przedstawiciel nie został, w stosownych przypadkach, ustanowiony;g)
brakuje dokumentacji technicznej.2.
W przypadku gdy niezgodność, o której mowa w ust. 1, utrzymuje się, krajowy organ nadzoru rynku zainteresowanego państwa członkowskiego podejmuje wszelkie odpowiednie i proporcjonalne środki w celu ograniczenia lub zakazania udostępniania na rynku takiego systemu AI wysokiego ryzyka lub zapewnienia, aby system ten niezwłocznie wycofano z użytku lub z rynku.Unijne struktury wsparcia testowania AI
1.
Komisja wyznacza co najmniej jedną unijną strukturę wsparcia testowania AI do wykonywania w obszarze AI zadań wymienionych w art. 21 ust. 6 rozporządzenia (UE) 2019/1020.2.
Bez uszczerbku dla zadań, o których mowa w ust. 1, unijne struktury wsparcia testowania AI zapewniają również niezależne doradztwo techniczne lub naukowe na wniosek Rady ds. AI, Komisji lub organów nadzoru rynku.
Środki ochrony prawnej
Środki ochrony prawnej
Prawo do wniesienia skargi do organu nadzoru rynku
Bez uszczerbku dla innych administracyjnych lub sądowych środków ochrony prawnej każda osoba fizyczna lub prawna mająca podstawy, by uznać, że zostały naruszone przepisy niniejszego rozporządzenia, może wnieść skargę do odpowiedniego organu nadzoru rynku.
Zgodnie z rozporządzeniem (UE) 2019/1020 takie skargi bierze się pod uwagę do celów prowadzenia działań w zakresie nadzoru rynku i rozpatruje się je zgodnie ze specjalnymi procedurami ustanowionymi w związku z tym przez organy nadzoru rynku.
Prawo do uzyskania wyjaśnienia na temat procedury podejmowania decyzji w indywidualnej sprawie
1.
Każda osoba, na którą AI ma wpływ, będąca przedmiotem decyzji podjętej przez podmiot stosujący na podstawie wyników systemu AI wysokiego ryzyka wymienionego w załączniku III, z wyjątkiem systemów wymienionych w pkt 2 tego załącznika, która to decyzja wywołuje skutki prawne lub w podobny sposób oddziałuje na tę osobę na tyle znacząco, że uważa ona, iż ma to niepożądany wpływ na jej zdrowie, bezpieczeństwo lub prawa podstawowe, ma prawo uzyskania od podmiotu stosującego jasnego i merytorycznego wyjaśnienia roli tego systemu AI w procedurze podejmowania decyzji oraz głównych elementów podjętej decyzji.2.
Ust. 1 nie stosuje się do wykorzystywania systemów AI, w odniesieniu do których z prawa Unii lub zgodnego z prawem Unii prawa krajowego wynikają wyjątki lub ograniczenia dotyczące stosowania obowiązku ustanowionego w tym ustępie.3.
Niniejszy artykuł stosuje się jedynie w zakresie, w jakim prawo, o którym mowa w ust. 1, nie zostało inaczej ustanowione w prawie Unii.Zgłaszanie naruszeń i ochrona osób dokonujących zgłoszeń
Do zgłaszania naruszeń niniejszego rozporządzenia oraz w kwestiach ochrony osób zgłaszających takie naruszenia stosuje się przepisy dyrektywy (UE) 2019/1937.
Nadzór, postępowania, egzekwowanie i monitorowanie w odniesieniu do dostawców modeli AI ogólnego przeznaczenia
Nadzór, postępowania, egzekwowanie i monitorowanie w odniesieniu do dostawców modeli AI ogólnego przeznaczenia
Egzekwowanie obowiązków dostawców modeli AI ogólnego przeznaczenia
1.
Komisja ma wyłączne uprawnienia do nadzorowania i egzekwowania przestrzegania przepisów rozdziału V, przy uwzględnieniu gwarancji proceduralnych na podstawie art. 94. Komisja powierza realizację tych zadań Urzędowi ds. AI, bez uszczerbku dla uprawnień organizacyjnych Komisji i podziału kompetencji między państwami członkowskimi a Unią na podstawie Traktatów.2.
Bez uszczerbku dla art. 75 ust. 3 organy nadzoru rynku mogą zwrócić się do Komisji o wykonanie uprawnień ustanowionych w niniejszej sekcji, w przypadku gdy jest to konieczne i proporcjonalne w kontekście realizacji ich zadań na podstawie niniejszego rozporządzenia.Działania monitorujące
1.
Do celów wykonywania zadań powierzonych w niniejszej sekcji Urząd ds. AI może podejmować działania niezbędne do monitorowania skutecznego wdrożenia i zapewnienia zgodności z niniejszym rozporządzeniem przez dostawców modeli AI ogólnego przeznaczenia, w tym przestrzegania przez nich zatwierdzonych kodeksów praktyk.2.
Dostawcy niższego szczebla mają prawo wniesienia skargi dotyczącej naruszenia niniejszego rozporządzenia. Skarga musi być należycie uzasadniona i zawierać co najmniej:a)
dane kontaktowe danego dostawcy modelu AI ogólnego przeznaczenia;b)
opis istotnych faktów, stosowne przepisy niniejszego rozporządzenia oraz powody, dla których dostawca niższego szczebla uważa, że dostawca systemu AI ogólnego przeznaczenia naruszył niniejsze rozporządzenie;c)
wszelkie inne informacje uznane za istotne przez dostawcę niższego szczebla, który wysłał zgłoszenie, w tym, w stosownych przypadkach, informacje zebrane z własnej inicjatywy.Ostrzeżenia o ryzyku systemowym wydawane przez panel naukowy
1.
Panel naukowy może wydawać ostrzeżenia kwalifikowane skierowane do Urzędu ds. AI, w przypadku gdy ma powody podejrzewać, że:a)
model AI ogólnego przeznaczenia stwarza konkretne możliwe do zidentyfikowania ryzyko na poziomie Unii; lubb)
model AI ogólnego przeznaczenia spełnia warunki, o których mowa w art. 51.2.
Po otrzymaniu takiego ostrzeżenia kwalifikowanego Komisja, za pośrednictwem Urzędu ds. AI i po poinformowaniu Rady ds. AI, może wykonać uprawnienia ustanowione w niniejszej sekcji do celów oceny danej sprawy. Urząd ds. AI informuje Radę ds. AI o wszelkich środkach zgodnie z art. 91-94.3.
Ostrzeżenie kwalifikowane musi być należycie uzasadnione i zawierać co najmniej:a)
dane kontaktowe danego dostawcy modelu AI ogólnego przeznaczenia z ryzykiem systemowym;b)
opis stosownych faktów i uzasadnienie wydania ostrzeżenia przez panel naukowy;c)
wszelkie inne informacje, które panel naukowy uważa za istotne, w tym, w stosownych przypadkach, informacje zebrane z własnej inicjatywy.Uprawnienie do zwracania się z wnioskiem o przedstawienie dokumentacji i informacji
1.
Komisja może zwrócić się do dostawcy danego modelu AI ogólnego przeznaczenia z wnioskiem o przedstawienie dokumentacji sporządzonej przez niego zgodnie art. 53 i 55 lub wszelkich dodatkowych informacji niezbędnych do celów oceny zgodności dostawcy z niniejszym rozporządzeniem.2.
Przed wysłaniem wniosku o przedstawienie informacji Urząd ds. AI może rozpocząć zorganizowany dialog z dostawcą modelu AI ogólnego przeznaczenia.3.
Na należycie uzasadniony wniosek panelu naukowego Komisja może skierować do dostawcy modelu AI ogólnego przeznaczenia wniosek o przedstawienie informacji, w przypadku gdy dostęp do informacji jest niezbędny i proporcjonalny do realizacji zadań panelu naukowego na podstawie art. 68 ust. 2.4.
We wniosku o przekazanie informacji wskazuje się podstawę prawną i cel wniosku, podaje, jakie informacje stanowią przedmiot wniosku oraz określa się termin na przekazanie tych informacji, a także wskazuje przewidziane w art. 101 kary pieniężne za dostarczenie informacji nieprawidłowych, niekompletnych lub wprowadzających w błąd.5.
Dostawca danego modelu AI ogólnego przeznaczenia lub jego przedstawiciel dostarczają informacje stanowiące przedmiot wniosku. W przypadku osób prawnych, spółek lub firm lub w przypadku gdy dostawca nie ma osobowości prawnej, osoby upoważnione do ich reprezentowania z mocy prawa lub na podstawie aktu założycielskiego dostarczają w imieniu dostawcy danego modelu AI ogólnego przeznaczenia informacje stanowiące przedmiot wniosku. Prawnicy należycie upoważnieni do działania mogą dostarczać informacje w imieniu swoich klientów. Klienci ponoszą jednak pełną odpowiedzialność, jeśli dostarczone informacje są nieprawidłowe, niekompletne lub wprowadzające w błąd.Uprawnienia do przeprowadzania ocen
1.
Urząd ds. AI po konsultacji z Radą ds. AI może przeprowadzać oceny danego modelu AI ogólnego przeznaczenia:a)
do celów oceny spełniania przez danego dostawcę obowiązków na podstawie niniejszego rozporządzenia, w przypadku gdy informacje zgromadzone zgodnie z art. 91 są niewystarczające; lubb)
do celów badania na poziomie Unii ryzyka systemowego modeli AI ogólnego przeznaczenia z ryzykiem systemowym, w szczególności w następstwie ostrzeżenia kwalifikowanego panelu naukowego zgodnie z art. 90 ust. 1 lit. a).2.
Komisja może podjąć decyzję o powołaniu niezależnych ekspertów do przeprowadzania ocen w jej imieniu, w tym z panelu naukowego ustanowionego zgodnie z art. 68. Niezależni eksperci powołani do tego zadania muszą spełniać kryteria określone w art. 68 ust. 2.3.
Do celów ust. 1 Komisja może zwrócić się z wnioskiem o udzielenie dostępu do danego modelu AI ogólnego przeznaczenia za pośrednictwem API lub innych odpowiednich środków i narzędzi technicznych, w tym do kodu źródłowego.4.
We wniosku o udzielenie dostępu wskazuje się podstawę prawną, cel i uzasadnienie wniosku oraz określa się termin na udzielenie tego dostępu, a także wskazuje przewidziane w art. 101 kary pieniężne za nieudzielenie dostępu.5.
Dostawcy modeli AI ogólnego przeznaczenia oraz ich przedstawiciele dostarczają informacji stanowiących przedmiot wniosku. W przypadku osób prawnych, spółek lub firm lub w przypadku gdy dostawca nie posiada osobowości prawnej, osoby upoważnione do ich reprezentowania z mocy prawa lub na podstawie aktu założycielskiego udzielają w imieniu danego dostawcy modelu AI ogólnego przeznaczenia dostępu stanowiącego przedmiot wniosku.6.
Komisja przyjmuje akty wykonawcze określające szczegółowe zasady i warunki przeprowadzania ocen, w tym szczegółowe zasady dotyczące udziału niezależnych ekspertów, oraz procedurę ich wyboru. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 98 ust. 2.7.
Przed wystąpieniem z wnioskiem o udzielenie dostępu do danego modelu AI ogólnego przeznaczenia Urząd ds. AI może rozpocząć zorganizowany dialog z dostawcą danego modelu AI ogólnego przeznaczenia, aby zgromadzić więcej informacji na temat wewnętrznych testów modelu, wewnętrznych zabezpieczeń w celu zapobieżenia ryzyku systemowemu oraz innych wewnętrznych procedur i środków, jakie dostawca podjął w celu ograniczenia takiego ryzyka.Uprawnienia do żądania podjęcia środków
1.
W miarę konieczności i w stosownych przypadkach Komisja może zwrócić się do dostawców z żądaniem dotyczącym:a)
podjęcia odpowiednich środków w celu spełnienia obowiązków określonych w art. 53 i 54;b)
wdrożenia środków zaradczych, w przypadku gdy z oceny przeprowadzonej zgodnie z art. 92 wynika poważna i uzasadniona obawa wystąpienia ryzyka systemowego na poziomie Unii;c)
ograniczenia udostępniania modelu na rynku, wycofania modelu z rynku lub z użytku.2.
Przed wystąpieniem z żądaniem podjęcia środka Urząd ds. AI może rozpocząć zorganizowany dialog z dostawcą modelu AI ogólnego przeznaczenia.3.
Jeśli w trakcie zorganizowanego dialogu, o którym mowa w ust. 2, dostawca modelu AI ogólnego przeznaczenia z ryzykiem systemowym zobowiąże się do wdrożenia środków zaradczych w celu przeciwdziałania ryzyku systemowemu na poziomie Unii, Komisja może w drodze decyzji uczynić te zobowiązania wiążącymi i oświadczyć, że nie ma podstaw do dalszych działań.Prawa proceduralne podmiotów gospodarczych będących dostawcami modeli AI ogólnego przeznaczenia
Art. 18. rozporządzenia (UE) 2019/1020 stosuje się odpowiednio do dostawców modeli AI ogólnego przeznaczenia, bez uszczerbku dla bardziej szczególnych praw proceduralnych przewidzianych w niniejszym rozporządzeniu.
57 Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/943 z dnia 8 czerwca 2016 r. w sprawie ochrony niejawnego know-how i niejawnych informacji handlowych (tajemnic przedsiębiorstwa) przed ich bezprawnym pozyskiwaniem, wykorzystywaniem i ujawnianiem (Dz.U. L 157 z 15.6.2016, s. 1).
© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.