Članak 27. Uredbe (EU) 2024/1689 — Procjena utjecaja na temeljna prava za visokorizične sustave UI. Službeni tekst, praktično tumačenje, ključne obveze i implikacije za usklađenost.
Sažetak službenog teksta
Članak 27. Uredbe (EU) 2024/1689 uspostavlja obvezu za određene primatelje visokorizičnih sustava UI da provedu procjenu utjecaja na temeljna prava (PURTP) prije puštanja takvih sustava u pogon. Obveza se primjenjuje na primatelje koji su tijela uređena javnim pravom u smislu Direktive 2014/24/EU, te na primatelje koji su privatni subjekti koji pružaju usluge javne naravi — konkretno u područjima bankarstva, osiguranja, zdravstvene zaštite, obrazovanja i strukovnog osposobljavanja, upravljanja zapošljavanjem i radnicima te upravljanja kritičnom infrastrukturom.
Procjena mora biti provedena prije raspoređivanja i mora obuhvatiti sljedeće elemente: opis procesa primatelja u kojima će se koristiti visokorizični sustav UI i njihovu svrhu; kategorije fizičkih osoba i skupina koje bi mogle biti zahvaćene; specifične rizike za temeljna prava koji mogu proizaći iz korištenja; konkretne mjere koje primatelj namjerava primijeniti radi smanjivanja tih rizika; naznaku o postojanju mehanizama žalbe ili pravnog lijeka; te, prema potrebi, opis utjecaja na djecu.
Primatelji obuhvaćeni ovom obvezom moraju također obavijestiti relevantno tijelo za nadzor tržišta prije raspoređivanja određenih kategorija visokorizičnih sustava UI navedenih u Prilogu III. Procjena mora se temeljiti na informacijama koje pruža dobavljač sukladno članku 13. i mora biti dokumentirana i dostupna nadležnim tijelima.
Što to znači u praksi
Za organizacije u okviru dosega primjene, članak 27. zahtijeva strukturiran, dokumentiran proces prije nego što bilo koji visokorizični sustav UI počne s radom. Ovo nije jednokratna provjerna vježba — PURTP mora odražavati stvarni kontekst raspoređivanja i mora se preispitati kada se taj kontekst materijalno promijeni.
Javna bolnica koja raspoređuje sustav za dijagnozu ili trijažu uz pomoć UI mora procijeniti koje bi grupe pacijenata mogle biti nerazmjerno zahvaćene, koja prava su u pitanju (dostojanstvo, nediskriminacija, pristup zdravstvenoj zaštiti) te kakve zaštitne mjere postoje ako sustav generira netočne preporuke. Lokalno tijelo koje koristi sustav UI za probir prihvatljivosti za socijalne naknade mora identificirati rizike za pravo na socijalnu zaštitu i pravičan postupak, te dokumentirati kako će nadzor od strane čovjeka funkcionirati u praksi.
Privatni subjekti koji pružaju financijske usluge okrenute javnosti — kao što su platforme za kreditno bodovanje ili preuzimanje osiguravajućeg rizika — nalaze se unutar dosega ako se kvalificiraju kao primatelji visokorizičnih sustava iz Priloga III. Fintech tvrtka koja koristi model UI za procjenu zahtjeva za zajmove mora mapirati demografske grupe izložene algoritmičkim odlukama, procijeniti rizik od diskriminatornih ishoda i uspostaviti dokumentiran put za pravni lijek.
Praktično, primatelji bi trebali ugraditi PURTP u svoje postojeće tijekove rada za procjenu utjecaja na zaštitu podataka (PUZP) prema OUZP-u gdje je relevantno, budući da članak 27. stavak 4. izričito dopušta zajedničko provođenje obje procjene. Organizacije bi trebale odrediti odgovornog vlasnika procjene, koristiti tehničku dokumentaciju dobavljača i upute za korištenje kao ulazne podatke, te stvoriti versijonirani zapis koji se može predočiti nadzornim tijelima na zahtjev.
Ključne obveze
- Provesti procjenu utjecaja na temeljna prava prije raspoređivanja bilo kojeg visokorizičnog sustava UI u dosegu primatelja, obuhvaćajući namjeravanu upotrebu, zahvaćene osobe, identificirane rizike i planirane mjere ublažavanja.
- Dokumentirati procjenu u pisanom obliku i čuvati je za inspekciju od strane nadležnih tijela i tijela za nadzor tržišta na zahtjev.
- Obavijestiti relevantno tijelo za nadzor tržišta prije raspoređivanja gdje to zahtijeva specifična kategorija visokorizičnog sustava UI navedena u Prilogu III.
- Koristiti informacije i upute za korištenje koje pruža dobavljač sustava UI prema članku 13. kao obvezne ulazne podatke za procjenu.
- Ažurirati procjenu kada se kontekst raspoređivanja značajno promijeni, uključujući promjene u kategorijama zahvaćenih osoba, svrsi korištenja ili profilu rizika sustava.
- Kada je potrebna i procjena utjecaja na zaštitu podataka prema članku 35. OUZP-a, obje procjene mogu se provesti zajednički radi smanjenja administrativnog opterećenja, pod uvjetom da su obuhvaćeni svi elementi obje procjene.
Odnos prema ostalim člancima
Članak 27. nalazi se unutar Poglavlja 3. Glave III., koje raspoređuje obveze između dobavljača i primatelja. Treba ga čitati zajedno s člankom 26. (opće obveze primatelja), koji uspostavlja širu dužnost primatelja da visokorizične sustave koriste u skladu s uputama dobavljača i da implementiraju nadzor od strane čovjeka. PURTP se izravno oslanja na informacije koje je dobavljač dužan pružiti prema članku 13. (transparentnost i pružanje informacija primateljima) i članku 16. točki (d) (dobavljačeva obveza izrade tehničke dokumentacije).
Članak 27. stavak 4. stvara izravnu proceduralnu vezu s OUZP-om: kada je potrebna i PUZP prema članku 35. Uredbe (EU) 2016/679, obje procjene mogu se objediniti. Ova je veza posebno relevantna za primatelje koji obrađuju osobne podatke, što će biti slučaj u većini reguliranih konteksta obuhvaćenih Prilogom III.
Članak 27. povezuje se i s člankom 72. (nadzor tržišta) i člankom 74. (pristup podacima), budući da dovršena procjena mora biti dostupna nadležnim tijelima koja obavljaju nadzorne funkcije.
Vremenski okvir usklađenosti
Akt EU o UI stupio je na snagu 1. kolovoza 2024. (dvadeset dana nakon objave u Službenom listu 12. srpnja 2024.). Njegove odredbe primjenjuju se u fazama:
- 2. veljače 2025. — Zabrane neprihvatljivih praksi UI rizika (članak 5.) postale su primjenjive.
- 2. kolovoza 2025. — Obveze koje se odnose na modele UI opće namjene (Glava VIII., Poglavlje 2.) i odredbe o upravljanju postale su primjenjive.
- 2. prosinca 2026. — Obveze za visokorizične sustave UI navedene u Prilogu I. (zakonodavstvo o sigurnosti proizvoda) postaju primjenjive.
- 2. kolovoza 2027. — Obveze za visokorizične sustave UI navedene u Prilogu III. (samostalni visokorizični sustavi, uključujući one koji će najvjerojatnije aktivirati PURTP iz članka 27. u područjima kao što su zapošljavanje, obrazovanje, biometijska identifikacija i pristup javnim uslugama) postaju primjenjive.
Članak 27. ulazi u okvir obveza primatelja visokorizičnih sustava i stoga postaje primjenjiv 2. kolovoza 2027. za sustave iz Priloga III., i 2. prosinca 2026. za sustave iz Priloga I. Primatelji ne bi trebali čekati do tih rokova: izgradnja procesa PURTP-a sada omogućava organizacijama da identificiraju i otklone rizike za temeljna prava prije početka provedbe te da usklade procjene s tekućim programima PUZP-a prema OUZP-u.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Članak 27. primjenjuje se konkretno na primatelje visokorizičnih sustava UI koji su tijela uređena javnim pravom ili privatni subjekti koji pružaju usluge javne naravi — posebno u područjima bankarstva, osiguranja, zdravstvene zaštite ili obrazovanja. Nisu obuhvaćeni svi primatelji — privatne tvrtke koje djeluju isključivo u komercijalnim kontekstima bez dimenzije javne usluge općenito su izvan dosega ove specifične obveze, iako ostaju podložne ostalim obvezama primatelja prema Aktu o UI.
Procjena mora biti provedena prije raspoređivanja visokorizičnog sustava UI. To je obveza prije raspoređivanja, što znači da primatelj mora provesti i dokumentirati procjenu prije puštanja sustava u upotrebu. Treba je ažurirati kada dođe do značajnih promjena u kontekstu raspoređivanja ili načinu korištenja sustava.
Ocjena sukladnosti iz članka 43. provodi se od strane dobavljača ili u njegovo ime radi provjere da sustav UI ispunjava tehničke zahtjeve Poglavlja 2. prije stavljanja na tržište. PURTP iz članka 27. provodi primatelj radi procjene konkretnog utjecaja na temeljna prava u specifičnom kontekstu raspoređivanja. Oni su komplementarni: ocjena sukladnosti odnosi se na inherentnu usklađenost sustava, dok se PURTP odnosi na stvarni utjecaj na pojedince u danom slučaju korištenja.
Članak 27. ne propisuje izričito vanjsku reviziju. Procjenu može interno provesti primatelj. Međutim, primatelji moraju obavijestiti relevantno tijelo za nadzor tržišta prije raspoređivanja u određenim slučajevima, a dokumentirana procjena mora biti dostupna nadležnim tijelima na zahtjev. Uključivanje vanjske stručnosti smatra se najboljom praksom, posebno za složene ili osjetljive kontekste raspoređivanja.
Primatelji moraju koristiti informacije koje je dobavljač stavio na raspolaganje u skladu s člankom 13. (transparentnost i pružanje informacija) i uputama za korištenje. Dobavljači su dužni pružiti dostatne informacije o namjenjenoj svrsi sustava, mogućnostima, ograničenjima i rizicima kako bi primatelji mogli provesti smislenu procjenu utjecaja na temeljna prava.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.