27 straipsnis — Pagrindinių teisių poveikio vertinimas didelės rizikos dirbtinio intelekto sistemoms (ES DI aktas)

Reglamento (ES) 2024/1689 27 straipsnis — Pagrindinių teisių poveikio vertinimas didelės rizikos DI sistemoms. Oficialus tekstas, praktinis aiškinimas, pagrindinės pareigos ir atitikties pasekmės.

Oficialaus teksto santrauka

Reglamento (ES) 2024/1689 27 straipsnis nustato pareigą tam tikriems didelės rizikos DI sistemų naudotojams atlikti pagrindinių teisių poveikio vertinimą (PTRPV) prieš pradedant naudoti tokias sistemas. Ši pareiga taikoma naudotojams, kurie yra viešosios teisės reglamentuojami subjektai, kaip apibrėžta Direktyvoje 2014/24/ES, ir naudotojams, kurie yra privatieji subjektai, teikiantys visuomeninio pobūdžio paslaugas — konkrečiai bankų, draudimo, sveikatos priežiūros, švietimo ir profesinio mokymo, užimtumo ir darbuotojų valdymo bei ypatingos svarbos infrastruktūros administravimo srityse.

Vertinimas turi būti atliktas prieš diegimą ir turi apimti šiuos elementus: naudotojo procesų, kuriuose bus naudojama didelės rizikos DI sistema, ir jų paskirties aprašymą; tikėtinai paveikiamų fizinių asmenų kategorijas ir grupes; konkrečias pagrindines teisines rizikas, galinčias kilti dėl naudojimo; konkrečias priemones, kurias naudotojas ketina įgyvendinti toms rizikoms sumažinti; nuorodą, ar yra skundų ar teisių gynimo mechanizmų; ir, kai taikoma, vaikams daromą poveikio aprašymą.

Pareigos taikymo srityje esantys naudotojai taip pat privalo informuoti atitinkamą rinkos priežiūros instituciją prieš diegdami tam tikras III priede išvardytas didelės rizikos DI sistemų kategorijas. Vertinimas turi remtis tiekėjo pagal 13 straipsnį pateikta informacija ir turi būti dokumentuotas bei saugomas ir pateikiamas kompetentingoms institucijoms.

Ką tai reiškia praktiškai

Organizacijoms, patenkančioms į taikymo sritį, 27 straipsnis reikalauja struktūruoto, dokumentuoto proceso prieš pradedant veikti bet kokiai didelės rizikos DI sistemai. Tai nėra vienkartinė kontrolinio sąrašo užduotis — PTRPV turi atspindėti tikrąjį diegimo kontekstą ir turi būti peržiūrimas, kai tas kontekstas iš esmės pasikeičia.

Valstybinė ligoninė, diegianti DI pagalbinę diagnostikos ar triažo sistemą, privalo įvertinti, kurioms pacientų grupėms gali būti daromas neproporcingas poveikis, kokios teisės yra keliamos (orumas, nediskriminavimas, prieiga prie sveikatos priežiūros) ir kokios apsaugos priemonės yra numatytos, jei sistema pateikia neteisingas rekomendacijas. Vietos valdžios institucija, naudojanti DI sistemą socialinių išmokų tinkamumo tikrinimui, privalo nustatyti rizikas teisei į socialinę apsaugą ir teisingą procesą bei dokumentuoti, kaip praktiškai veiks žmogaus priežiūra.

Privatieji subjektai, teikiantys viešojo sektoriaus finansines paslaugas — pavyzdžiui, kredito vertinimo ar draudimo rizikos prisiėmimo platformos — patenka į taikymo sritį, jei jie kvalifikuojami kaip III priedo didelės rizikos sistemų naudotojai. Finansinių technologijų bendrovė, naudojanti DI modelį paskolų paraiškoms vertinti, privalo nubrėžti demografines grupes, kurioms taikomi algoritminiai sprendimai, įvertinti diskriminacinių rezultatų riziką ir nustatyti dokumentuotą teisių gynimo kelią.

Praktiškai naudotojai turėtų integruoti PTRPV į esamus duomenų apsaugos poveikio vertinimo (DAPV) darbo eigas pagal BDAR, kur tai aktualu, nes 27 straipsnio 4 dalis aiškiai leidžia abu vertinimus atlikti kartu. Organizacijos turėtų paskirti atsakingą vertinimo savininką, naudoti tiekėjo techninę dokumentaciją ir naudojimo instrukcijas kaip įvestis bei sukurti versijuotą įrašą, kurį galima pateikti priežiūros institucijoms pareikalavus.

Pagrindinės pareigos

Atlikti pagrindinių teisių poveikio vertinimą prieš diegiant bet kokią didelės rizikos DI sistemą naudotojo veiklos srityje, apimant numatytą naudojimą, paveiktus asmenis, nustatytas rizikas ir suplanuotas mažinimo priemones.
Vertinimą dokumentuoti raštu ir saugoti jį kompetentingoms institucijoms ir rinkos priežiūros institucijoms patikrinti jų prašymu.
Informuoti atitinkamą rinkos priežiūros instituciją prieš diegimą, kai to reikalauja konkreti III priede išvardyta didelės rizikos DI sistemos kategorija.
Naudoti informaciją ir naudojimo instrukcijas, kurias DI sistemos tiekėjas pateikė pagal 13 straipsnį, kaip privalomas vertinimo įvestis.
Atnaujinti vertinimą, kai diegimo kontekstas iš esmės pasikeičia, įskaitant pokyčius paveikiamų asmenų kategorijose, naudojimo paskirtyje ar sistemos rizikos profilyje.
Kai taip pat reikalaujama atlikti duomenų apsaugos poveikio vertinimą pagal BDAR 35 straipsnį, abu vertinimai gali būti atliekami kartu, siekiant sumažinti administracinę naštą, jei visi abiejų elementai yra aprėpti.

Ryšys su kitais straipsniais

27 straipsnis yra III antraštinės dalies 3 skyriuje, kuris paskirsto pareigas tarp tiekėjų ir naudotojų. Jį reikia skaityti kartu su 26 straipsniu (bendrieji naudotojų įsipareigojimai), kuris nustato platesnę naudotojų pareigą naudoti didelės rizikos sistemas laikantis tiekėjo nurodymų ir įgyvendinti žmogaus priežiūrą. PTRPV tiesiogiai remiasi informacija, kurią tiekėjas privalo pateikti pagal 13 straipsnį (skaidrumas ir informacijos teikimas naudotojams) ir 16 straipsnio d punktą (tiekėjo pareiga parengti techninę dokumentaciją).

27 straipsnio 4 dalis sukuria tiesioginį procedūrinį ryšį su BDAR: kai taip pat reikalaujamas DAPV pagal Reglamento (ES) 2016/679 35 straipsnį, abu vertinimai gali būti sujungti. Šis ryšys ypač aktualus naudotojams, tvarkantiems asmens duomenis, o tai bus taikoma daugeliu III priedu apimamų reguliuojamų kontekstų atvejais.

27 straipsnis taip pat susijęs su 72 straipsniu (rinkos priežiūra) ir 74 straipsniu (prieiga prie duomenų), nes atliktas vertinimas turi būti prieinamas kompetentingoms institucijoms, vykdančioms priežiūros funkcijas.

Atitikties laiko juosta

ES DI aktas įsigaliojo 2024 m. rugpjūčio 1 d. (dvidešimt dienų po paskelbimo Oficialiajame leidinyje 2024 m. liepos 12 d.). Jo nuostatos taikomos etapais:

2025 m. vasario 2 d. — Draudimai dėl nepriimtinos rizikos DI praktikų (5 straipsnis) tapo taikomi.
2025 m. rugpjūčio 2 d. — Pareigos, susijusios su bendrosios paskirties DI modeliais (VIII antraštinė dalis, 2 skyrius), ir valdymo nuostatos tapo taikomos.
2026 m. gruodžio 2 d. — Pareigos didelės rizikos DI sistemoms, išvardytoms I priede (produktų saugos teisės aktai), tampa taikytinos.
2027 m. rugpjūčio 2 d. — Pareigos didelės rizikos DI sistemoms, išvardytoms III priede (savarankiškos didelės rizikos sistemos, įskaitant tas, kurios labiausiai tikėtinai suaktyvins 27 straipsnio PTRPV tokiose srityse kaip užimtumas, švietimas, biometrinis identifikavimas ir prieiga prie viešųjų paslaugų), tampa taikytinos.

27 straipsnis patenka į didelės rizikos naudotojų pareigų sistemą ir todėl tampa vykdytinas 2027 m. rugpjūčio 2 d. III priedo sistemoms ir 2026 m. gruodžio 2 d. I priedo sistemoms. Naudotojai neturėtų laukti iki šių terminų: PTRPV procesų kūrimas dabar leidžia organizacijoms nustatyti ir pašalinti pagrindines teisines rizikas prieš pradedant vykdyti reikalavimus ir suderinti vertinimus su vykdomų BDAR DAPV programomis.

Official AI Act Compliance Deadline Calendar

Updated 2026-06-23 · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation	Applies to	Original date	New date	Status	Countdown	Legal basis
Prohibited Practices (Art. 5)	All providers and deployers	2 February 2025	2 February 2025	active	—	AI Act Art. 5
GPAI Rules (Chapter 5)	GPAI model providers	2 August 2025	2 August 2025	active	—	AI Act Art. 51-56
High-risk AI — Annex III (standalone)	Providers of standalone Annex III systems	2 August 2026	2 December 2027	deferred	—	AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded)	AI embedded in Annex I regulated products	2 August 2026	2 August 2028	deferred	—	AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking	Providers of generative GPAI systems	2 August 2025	2 August 2025	active	—	AI Act Art. 50(2)
Regulatory Sandboxes	National competent authorities	2 August 2026	2 August 2026	active	—	AI Act Art. 57

⬇ Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

Kas pagal 27 straipsnį privalo atlikti pagrindinių teisių poveikio vertinimą?

27 straipsnis taikomas konkrečiai didelės rizikos DI sistemų naudotojams, kurie yra viešosios teisės reglamentuojami subjektai, arba privatiesiems subjektams, teikiantiems visuomeninio pobūdžio paslaugas — ypač bankų, draudimo, sveikatos priežiūros ar švietimo srityse. Ne visi naudotojai yra įtraukti — privatinės bendrovės, veikiančios vien komerciniame kontekste be viešojo paslaugų aspekto, paprastai nepatenka į šios konkrečios pareigos taikymo sritį, nors joms ir toliau taikomos kitos naudotojų pareigos pagal DI aktą.

Kada turi būti atliktas pagrindinių teisių poveikio vertinimas?

Vertinimas turi būti atliktas prieš didelės rizikos DI sistemos diegimą. Tai yra pareiga prieš diegimą, o tai reiškia, kad naudotojas turi atlikti ir dokumentuoti vertinimą prieš pradedant naudoti sistemą. Jis turėtų būti atnaujinamas, kai diegimo kontekste ar sistemos naudojime įvyksta reikšmingų pokyčių.

Kuo skiriasi 27 straipsnio PTRPV ir 43 straipsnyje numatytas atitikties vertinimas?

43 straipsnyje numatytas atitikties vertinimas atliekamas tiekėjo arba jo vardu, siekiant patikrinti, ar DI sistema atitinka 2 skyriaus techninius reikalavimus prieš pateikiant ją rinkai. 27 straipsnyje numatytas PTRPV atliekamas naudotojo, siekiant įvertinti konkretų poveikį pagrindinėms teisėms konkrečiame diegimo kontekste. Jie papildo vienas kitą: atitikties vertinimas nagrinėja sistemos vidinę atitiktį, o PTRPV — realų poveikį asmenims tam tikru naudojimo atveju.

Ar 27 straipsnis reikalauja išorės auditorių, ar vertinimą galima atlikti vidaus jėgomis?

27 straipsnis aiškiai nereikalauja išorės audito. Vertinimą naudotojas gali atlikti vidaus jėgomis. Tačiau tam tikrais atvejais naudotojai privalo informuoti atitinkamą rinkos priežiūros instituciją prieš diegimą, o dokumentuotas vertinimas turi būti pateikiamas kompetentingoms institucijoms jų prašymu. Išorės ekspertinių žinių įtraukimas yra geriausia praktika, ypač sudėtingiems ar jautriems diegimo kontekstams.

Kokią tiekėjo informaciją naudotojas privalo naudoti atliekant PTRPV?

Naudotojai privalo naudoti tiekėjo pagal 13 straipsnį (skaidrumas ir informacijos teikimas) suteiktą informaciją ir naudojimo instrukcijas. Tiekėjai privalo pateikti pakankamai informacijos apie numatytą sistemos paskirtį, galimybes, apribojimus ir rizikas, kad naudotojai galėtų atlikti prasmingą pagrindinių teisių poveikio vertinimą.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.