90% AI-d kasutavatest organisatsioonidest on kasutuselevõtjad, kes integreerivad kolmanda osapoole mudeleid — OpenAI, Anthropic, Azure AI või AI SaaS-tööriistu. Mõistke oma kohustusi: mida pakkuja peab teile andma, mida peate tegema ja millal saate ise pakkujaks.
Kolmanda osapoole AI tegelikkus: enamik organisatsioone on kasutuselevõtjad
Enamik Euroopa organisatsioone, mis kasutavad AI-d, ei ole OpenAI, Mistral ega teaduslabor. Nad integreerivad olemasolevaid mudeleid — API kaudu, SaaS-platvormi, Azure AI komponendi või äritööriista pistikprogrammi kaudu. Salesforce Einstein, Copilot for Microsoft 365, suuremahulisele keelemudelile toetav personalijuhtimise vestlusrobot, spetsialiseeritud tarnijalt ostetud krediidihindamise lahendus: kõigil neil juhtudel olete kellegi teise ehitatud AI-süsteemi kasutuselevõtja.
Selle positsiooni hõivab valdav enamik EL AI seadusest mõjutatud organisatsioone. See kandab täpseid kohustusi — erinevaid pakkuja kohustusest, kuid mitte tähtsusetuid. See võib ka areneda: kui muudate süsteemi või müüte selle edasi, muutub teie õiguslik staatus.
Teie positsiooni mõistmine AI väärtusahelas on mis tahes vastavuspingutuse esimene samm.
Teie kohustused kasutuselevõtjana
Kasutuselevõtja kohustused erinevad sõltuvalt kasutatava AI-süsteemi riskitasemest.
Kõrge riskiga AI-süsteemide puhul (III lisa)
Kui kasutate kolmanda osapoole AI-süsteemi, mis kvalifitseerub kõrge riskiga (krediidivõimelisuse hindamine, biomeetriline tuvastamine, värbamise sõelumine, elutähtsa taristu haldamine jne), on teie kohustused Art. 26 alusel:
1. Järgige kasutusjuhiseid Kasutage süsteemi ainult kavandatud eesmärgil ja vastavalt pakkuja poolt esitama kohustuslikele juhistele. Kõrge riskiga AI-süsteemi kasutamine väljaspool selle valideeritud ulatust on vastavuse tõrge isegi kui olete ainult kasutuselevõtja.
2. Määrake inimjärelevalve Määrake füüsiline isik, kellel on kompetents, volitus ja ressursid AI-süsteemi väljundite üle sisukaks inimjärelevalveks. See isik peab suutma mõista, mida süsteem teeb, tuvastada kõrvalekaldeid ja vajaduse korral süsteem tühistada või peatada.
3. Tagage sisendandmete kvaliteet Tagage, et süsteemi sisestatavad andmed on asjakohased, piisavalt esinduslikud ja asjakohased kavandatud eesmärgil teie konkreetses kasutusele võtmise kontekstis. Ühel rahvastikul valideeritud süsteem võib teie puhul erinevalt toimida — see on teie risk, mida hallata.
4. Jälgige käitamist ja tuvastage kõrvalekaldeid Aktiivselt jälgige süsteemi käitamist kõrvalekallete, ootamatute väljundite või tulemuslikkuse languse osas. See ei ole pakkuja vastutus kasutusele võtmisel — see on teie oma.
5. Säilitage logid Aktiveerige ja säilitage süsteemi poolt toodetud automaatlogid seaduse nõutud perioodil (ja mis tahes sektori regulatsioonil, mis võib kehtida). Ärge lülitage logimist välja salvestuskulude kokkuhoiu eesmärgil.
6. Teatage tõsistest intsidentidest Kui saate teadlikuks tõsisest intsidendist või tõrkest — sellisest, mis põhjustas või võiks põhjustada surma, tõsist kahju, põhiõiguste rikkumisi või olulist varalist kahju — teavitage pakkujat põhjendamatu viivituseta. Mõnel juhul (eriti kus kasutusele võtmine hõlmab avalikele teenustele suunatud teenuseid või õiguskaitsega külgnevaid tegevusi) võib olla vajalik otsene teatamine riiklikule turujärelevalveasutusele.
7. Põhiõiguste mõjuhinnang (avalikud asutused) Kui olete avalik asutus või eraüksus, mis kasutab AI-süsteeme valdkondades, mis tõenäoliselt mõjutavad põhiõigusi (tervishoid, sotsiaalteenused, haridus, õiguskaitse), peate enne kasutusele võtmist läbi viima põhiõiguste mõjuhinnangu (Art. 27).
Ainult läbipaistvusega AI-süsteemide puhul (Art. 50)
Kui kasutate vestlusrobotit, AI-loodud sisusüsteemi või emotsioonide tuvastamise tööriista, mis ei ole kõrge riskiga, kuid allub Art. 50 läbipaistvuskohustustele, peate:
- Teavitama kasutajaid, et nad suhtlevad AI-süsteemiga (Art. 50(1))
- Tagama, et AI-loodud sisu on tehnilist märgistust (Art. 50(4)), kus kohaldatav
- Teavitama mõjutatud isikuid, kui kasutatakse emotsioonide tuvastamist või biomeetrilist kategoriseerimist (Art. 50(2)–(3))
Need kohustused kehtivad isegi kui kasutate kolmanda osapoole API-d või SaaS-tööriista. Pakkuja vastutab tehnilise suutlikkuse sisseehitamise eest; teie vastutate selle aktiveerimise ja avalikustamise tagamise eest, et see tegelikult kasutajateni jõuaks.
Minimaalse riskiga AI-süsteemide puhul
AI seaduse alusel puuduvad konkreetsed juriidilised kohustused. Kehtivad vabatahtlikud tegevusjuhendid. Hea juhtimistava soovitab endiselt kasutatavate AI-süsteemide põhidokumentatsiooni ja perioodilist tulemuslikkuse ülevaatust.
Mida nõuda kolmanda osapoole AI pakkujalt
Teie võime täita kasutuselevõtja kohustusi sõltub otseselt sellest, mida pakkuja teile annab. EL AI seadus nõuab kõrge riskiga AI-süsteemide pakkujatelt konkreetse teabe esitamist — ja GPAI mudeli pakkujatel on paralleelsed dokumentatsioonikohustused. Kasutage seda kontrollnimekirja kolmanda osapoole AI hankimisel:
Mis tahes AI-süsteemi puhul
- Süsteemi kirjeldus: Mida süsteem teeb, milliseid sisendeid see võtab, milliseid väljundeid toodab ja milliseid otsuseid see võib mõjutada?
- Kavandatud eesmärk: Täpselt milliseks kasutusjuhuks on süsteem kavandatud, valideeritud ja heaks kiidetud?
- Teadaolevad piirangud: Millistel tingimustel toimib süsteem halvasti? Millised rahvastikud, keeled või andmetüübid on väljaspool selle valideeritud ulatust?
- Kasutusjuhised: Täielik juhiste kogum, mida pakkuja on kohustatud Art. 13 alusel kõrge riskiga süsteemidele esitama
Spetsiaalselt kõrge riskiga süsteemide puhul
- Vastavusdeklaratsioon või vastavushindamise tulemuste kokkuvõte
- Riskijuhtimise dokumentatsioon — millised riskid tuvastati ja kuidas neid maandati?
- Eelarvamuste ja õigluse testimise tulemused — milliseid kaitstud omadusi testiti, milliseid mõõdikuid kasutati ja milliseid tulemusi leiti?
- Tulemuslikkuse mõõdikud — täpsus, valepositiivsete/valenegatiivsete määrad ja disagregeeritud tulemuslikkus asjakohaste demograafiliste rühmade kaupa
- Logimissuutlikkus — kinnitus, et süsteem genereerib Art. 12 nõutud logid, ja juhised nende juurdepääsuks ja säilitamiseks
- Intsidentide teatamise protsess — kellega ühendust võtta, millise tähtaja jooksul ja millisel kanalil tõsise intsidendi korral
- Uuendamise poliitika — kuidas pakkuja teid olemuslikest uuendustest teavitab ja milline uuesti valideerimine on pärast uuendusi vajalik?
GPAI mudelite puhul (API-d ja vundamentmudeli juurdepääs)
- Mudeli kaart või tehniline kokkuvõte — võimekused, piirangud, treeningandmete kokkuvõte, hindamistulemused
- Autoriõiguste täitmise avaldus — kuidas pakkuja tegeleb autoriõigusseadusega treeningandmete ja väljundite puhul?
- Vastuvõetava kasutuse poliitika — milliseid kasutusjuhtumeid pakkuja keelab ja mis juhtub, kui te neid rikute?
- Andmetöötluse tingimused — kuidas pakkuja teie sisendandmeid käsitleb? Kas neid kasutatakse edasiseks treenimiseks?
Millal saate pakkujaks
EL AI seaduse Art. 25 on kolmanda osapoole AI kasutajatele kriitiline: see määratleb, millal kasutuselevõtja muutub pakkujaks ja võtab üle kõik pakkuja kohustused.
Saate pakkujaks, kui:
1. Oluliselt muudate kõrge riskiga AI-süsteemi
Kui võtate kõrge riskiga AI-süsteemi ja teete olulisi muudatusi, mis ületavad pakkuja kavandatu — muutes mudelit, ümber treenides oma andmetel, muutes põhiloogikat — olete nüüd uue või oluliselt muudetud süsteemi pakkuja. Kõik pakkuja kohustused kehtivad: vastavushindamine, tehniline dokumentatsioon, CE-märgis, EL andmebaasiregistreerimine.
Põhiküsimus: Kas teie kohandamine on "kasutamine kavandatud parameetrites" või "uue võimekuse arendamine"? Mudeli täiustamine oma valdkonna andmetel võib olla oluline muudatus või mitte, sõltuvalt muutuse astmest ja sellest, kas see mõjutab riskiprofiili.
2. Muutke kavandatud eesmärki kõrge riskiga kategooriaks
Kui võtate mitte-kõrge-riskiga klassifitseeritud süsteemi ja kasutate seda kõrge riskiga kasutusjuhtudeks — kasutades üldist teksti klassifikaatorit tööhõiveotsuste tegemiseks näiteks — olete muutnud kavandatud eesmärki viisil, mis käivitab kõrge riskiga klassifikatsiooni. Saate selle kasutusele võtmise kõrge riskiga AI-süsteemi pakkujaks ja peate täitma kõiki pakkuja kohustusi.
3. Lasete süsteemi oma nime all turule
Kui ostate või litsentsige AI-süsteemi ja müüte või pakute seda teistele oma tootena (valge kaubamärgistamine), lasete selle turule oma nime all ja saate pakkujaks. See on SaaS-sektoris tavaline: kolmanda osapoole mudeli integreerimine oma tootepakkumisesse muudab teid selle toote pakkujaks.
4. Teete GPAI mudelile olulisi muudatusi
Kui võtate GPAI mudeli ja teete sellele olulisi muudatusi selle võimekuses või kasutusjuhus — väljaspool täiustamist pakkuja kavandatud parameetrites — võite muutuda uue GPAI mudeli pakkujaks oma V peatüki kohustuste kandmisega.
Kasutuselevõtjate lepingulised kaitsemeetmed
Kuna teie vastavus sõltub sellest, mida pakkuja teile annab, on teie lepingud kolmanda osapoole AI tarnijatega kriitiline vastavustööriist. Põhilised klauslid, mida kaasata:
Teabe õigused
- Õigus saada kasutusjuhiste regulaarselt uuendatud versiooni
- Õigus pääseda vastavusdeklaratsioonile ja vastavushindamise kokkuvõttele
- Õigus saada eelarvamuste testimise tulemusi ja tulemuslikkuse mõõdikuid
- Õigus saada dokumentatsiooni oluliste mudeli uuenduste kohta enne kasutusele võtmist
Intsidentide haldamine
- Pakkuja kohustus teavitada teid tõsistest intsidentidest või haavatavustest, millest nad teadlikuks saavad, määratud tähtaja jooksul
- Selge kanal ja protsess intsidentide teatamiseks pakkujale
- Pakkuja kohustus teha koostööd teie intsidentide uurimiste ja regulatiivsete päringutega
Auditeerimisõigused
- Õigus auditeerida või saada auditiaruandeid pakkuja AI seaduse kohustuste täitmise kohta
- Õigus taotleda uuendatud dokumentatsiooni oluliste muudatuste korral
Uuendamise kohustused
- Pakkuja peab teavitama teid enne oluliste uuenduste kasutusele võtmist AI-süsteemis
- Pakkuja peab nõustama, kas uuendus on oluline muudatus, mis nõuab uuesti valideerimist
- Dokumentatsiooni järjepidevus — uuendatud tehniline dokumentatsioon peab olema esitatud iga olulise uuendusega
Vastutuse jaotamine
- Selgus selles, milline osapool vastutab milliste Art. 25 kohaste kohustuste eest
- Hüvitis kahju eest, mis tuleneb pakkuja mittevastavusest tarnijate kohustuste suhtes
- Vastutuse piirangu sätted, mis ei kahjusta teie võimet täita regulatiivseid kohustusi
Tarnijate AI turg: mida jälgida
AI-tööriistade ja -teenuste turg areneb kiiresti ning tarnijate EL AI seaduse vastavuse hoiak varieerub märkimisväärselt:
- Suured pilve- ja AI-pakkujad (Microsoft, Google, AWS, OpenAI, Anthropic) on investeerinud olulisel määral AI juhtimisse ja GPAI vastavusdokumentatsiooni. Nende teenuse tingimused ja mudeli kaardid pakuvad rohkem teavet kui enamik teisi tarnijaid.
- Spetsialiseeritud vertikaalsed AI tarnijad (personalijuhtimise tehnoloogia, juriidiline tehnoloogia, fintech, tervishoid) on EL AI seaduse valmisoleku osas erinevates etappides. Paljud on VKE-d, kes pole veel täielikult oma kohustusi kaardistanud.
- SaaS-tööriistadesse integreeritud AI (AI funktsioonid CRM-is, ERP-is, tootlikkuse tööriistades) ei pruugi olla turustatud "AI-toodetena" — kuid kui need teevad või mõjutavad olulisi otsuseid üksikisikute kohta, kehtivad EL AI seaduse kohustused.
Hangete meeskonnad peaksid lisama AI seaduse vastavuse sõelumise tarnijate hoolsuskohustusele — küsides tarnijatelt oma vastavusoleku kinnitust, esitades vastavusdokumentatsiooni kõrge riskiga süsteemide puhul ja kohustudes jätkuvale teabevahetusele regulatiivse maastiku arenedes.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Jah, kasutuselevõtjatena. API pakkuja (OpenAI, Anthropic) on GPAI mudeli pakkuja ja kannab GPAI kohustused. Kui ehitate rakenduse nende API peale ja teete selle kasutajatele kättesaadavaks, saate selle rakenduse (AI-süsteemi) pakkujaks. Teil on kasutuselevõtja kohustused alusmudeli suhtes ja pakkuja kohustused oma AI-süsteemi suhtes.
Kõrge riskiga AI-süsteemide puhul peab tarnija (pakkujana) esitama kasutusjuhised (Art. 13) ja vastavushindamise kokkuvõtte või vastavusdeklaratsiooni. GPAI mudelite puhul peavad pakkujad esitama tehnilise dokumentatsiooni ja teabe, mis on vajalik allpool olevate vastavuse jaoks. Nõudke lepinguliselt: süsteemi kirjeldust, teadaolevaid piiranguid, eelarvamuste testimise tulemusi, tulemuslikkuse mõõdikuid ja intsidentide teatamise menetlusi.
Lepinguliselt saate vastutust poolte vahel jaotada — kuid regulatiivset vastutust ei saa lepinguliselt üle anda. Kui võtate kasutusele kõrge riskiga AI-süsteemi, on teil kasutuselevõtja kohustused olenemata teie kokkuleppest. Kasutage lepinguid tagamaks, et pakkuja annab teile seda, mida vajate oma kohustuste täitmiseks, mitte nendest põgenemiseks.
EL AI seadus kohaldub AI-süsteemidele, mis on lastud Euroopa turule, olenemata pakkuja asukohast. Mitte-EL pakkujad peavad määrama EL-is volitatud esindaja (Art. 22), kellel on samad juriidilised kohustused kui EL-is asutatud pakkujal. Kontrollige, kas tarnijal on volitatud esindaja enne nende AI-süsteemi kasutusele võtmist.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.