Artykuł 10 rozporządzenia (UE) 2024/1689 — Dane i zarządzanie danymi. Tekst oficjalny, interpretacja praktyczna, kluczowe obowiązki i implikacje dla zgodności.
Podsumowanie tekstu oficjalnego
Artykuł 10 rozporządzenia (UE) 2024/1689 (rozporządzenie UE w sprawie AI), umieszczony w Tytule III, Rozdziale 2, ustanawia obowiązkowe wymogi w zakresie zarządzania danymi dla dostawców systemów AI wysokiego ryzyka. Artykuł ma zastosowanie do zbiorów danych do trenowania, walidacji i testowania wykorzystywanych przy opracowywaniu takich systemów.
Na podstawie Artykułu 10(2) praktyki zarządzania danymi muszą obejmować: wybory projektowe dotyczące gromadzenia danych; operacje przygotowania danych, w tym adnotację, etykietowanie, czyszczenie, wzbogacanie i agregację; sformułowanie odpowiednich założeń dotyczących zamierzonego użycia; oraz badanie możliwych uprzedzeń, które mogą mieć wpływ na zdrowie, bezpieczeństwo lub prawa podstawowe.
Artykuł 10(3) wymaga, aby zbiory danych do trenowania, walidacji i testowania podlegały odpowiednim praktykom zarządzania danymi oraz były właściwe, reprezentatywne, wolne od błędów i kompletne w świetle zamierzonego celu. W przypadkach, gdy całkowita wolność od błędów jest niemożliwa do osiągnięcia, dostawcy muszą dokumentować błędy resztkowe i ich potencjalny wpływ.
Artykuł 10(4) odnosi się do przetwarzania szczególnych kategorii danych osobowych — zgodnie z definicją zawartą w Artykule 9 rozporządzenia (UE) 2016/679 (RODO) oraz Artykule 10 rozporządzenia (UE) 2018/1725 — ściśle ograniczając takie przetwarzanie do monitorowania i korygowania uprzedzeń, z zastrzeżeniem odpowiednich zabezpieczeń. Artykuł 10(5) stanowi, że państwa członkowskie mogą ustanowić szczegółowe warunki przetwarzania wrażliwych danych osobowych w interesie publicznym dla celów rozwoju AI, z zastrzeżeniem rygorystycznych warunków. Artykuł 10(6) precyzuje, że wymogi dotyczące zbiorów danych mają proporcjonalne zastosowanie do dostawców korzystających z istniejących zbiorów danych, których pierwotnie nie gromadzili, w zakresie, w jakim takie badanie jest technicznie wykonalne.
Co to oznacza w praktyce
Artykuł 10 nakłada konkretne obowiązki na każdą organizację opracowującą lub wdrażającą w UE system AI wysokiego ryzyka. W praktyce zgodność wymaga ustanowienia i utrzymywania ustrukturyzowanego programu zarządzania danymi obejmującego pełny cykl życia opracowania.
W przypadku dostawcy opracowującego wspomagane przez AI narzędzie do selekcji kandydatów w procesie rekrutacji (system objęty Załącznikiem III, punkt 4), Artykuł 10 wymaga dokumentowania powodów, dla których wybrano określone zbiory danych, jakie etapy wstępnego przetwarzania zostały zastosowane oraz w jaki sposób zbiory danych obejmują różnorodność demograficzną zamierzonej puli kandydatów. Jeżeli dane treningowe nie są wystarczająco reprezentatywne dla kandydatów z określonych środowisk regionalnych lub etnicznych, dostawca musi zidentyfikować tę lukę, ocenić ryzyko uprzedzeń dla równego traktowania oraz albo poprawić zbiór danych, albo wdrożyć techniczne środki łagodzące — wszystko to możliwe do prześledzenia w dokumentacji technicznej wymaganej na mocy Artykułu 11.
W przypadku dostawcy integrującego model AI lub zbiór danych od strony trzeciej, Artykuł 10(6) nadal wymaga starannego zbadania właściwości gotowych danych w odniesieniu do zamierzonego przypadku użycia. Poleganie wyłącznie na karcie danych dostawcy wyższego szczebla jest niewystarczające; dostawcy niższego szczebla muszą zweryfikować, czy właściwości danych odpowiadają ich specyficznemu kontekstowi wdrożenia.
W praktyce zespoły ds. zgodności powinny: prowadzić plan zarządzania danymi dla każdego systemu; utrzymywać rejestry pochodzenia danych; przeprowadzać udokumentowane oceny uprzedzeń i reprezentatywności na etapach trenowania, walidacji i testowania; oraz zapewnić, że wszelkie użycie wrażliwych danych osobowych do korygowania uprzedzeń jest objęte podstawą prawną i odpowiednimi kontrolami dostępu. Rejestry te stanowią część dokumentacji technicznej, która musi być dostępna dla krajowych właściwych organów na żądanie.
Kluczowe obowiązki
- Ramy zarządzania danymi: Ustanowienie udokumentowanych praktyk zarządzania danymi obejmujących wszystkie etapy — trenowanie, walidację i testowanie — przed wprowadzeniem systemu AI wysokiego ryzyka do obrotu.
- Kryteria jakości zbiorów danych: Zapewnienie, że zbiory danych spełniają cztery łączne kryteria jakości: właściwość dla zamierzonego celu, reprezentatywność kontekstu wdrożenia, wolność od błędów (lub udokumentowane resztkowe wskaźniki błędów) i kompletność.
- Badanie uprzedzeń: Przeprowadzenie i udokumentowanie badania zbiorów danych pod kątem uprzedzeń, które mogą prowadzić do dyskryminacji lub zagrożeń dla zdrowia, bezpieczeństwa lub praw podstawowych, stosując środki naprawcze tam, gdzie zidentyfikowano uprzedzenia.
- Dokumentacja przygotowania danych: Rejestrowanie wszystkich operacji przygotowania danych — adnotacji, etykietowania, czyszczenia, wzbogacania i agregacji — wraz z założeniami i wyborami projektowymi, które je ukształtowały.
- Ograniczone wykorzystanie danych wrażliwych: Przetwarzanie szczególnych kategorii danych osobowych wyłącznie w celu wykrywania i korygowania uprzedzeń, z zastrzeżeniem zabezpieczeń równoważnych RODO, i tylko tam, gdzie jest to ściśle konieczne i proporcjonalne.
- Zbiory danych od stron trzecich i istniejące zbiory danych: Przeprowadzenie proporcjonalnego, technicznie wykonalnego badania wszelkich istniejących lub zewnętrznych zbiorów danych w celu weryfikacji, czy spełniają one wymogi istotne dla konkretnego przypadku użycia dostawcy.
Powiązanie z innymi artykułami
Artykuł 10 znajduje się w centrum ram wymogów dla systemów AI wysokiego ryzyka i jest bezpośrednio powiązany z kilkoma innymi przepisami. Artykuł 9 (system zarządzania ryzykiem) zasila Artykuł 10: ryzyka zidentyfikowane w ramach zarządzania danymi — takie jak uprzedzenia w zbiorach danych — muszą być zarządzane poprzez iteracyjny proces zarządzania ryzykiem. Artykuł 11 (dokumentacja techniczna) i Załącznik IV wymagają od dostawców zapisywania wyborów dotyczących zarządzania danymi i charakterystyk zbiorów danych w ramach dokumentacji zgodności ocenianej przez jednostki notyfikowane lub podlegającej samoocenie.
Artykuł 13 (przejrzystość i dostarczanie informacji) opiera się na dokumentacji danych, aby umożliwić znaczące instrukcje użytkowania, w szczególności w odniesieniu do znanych ograniczeń wynikających z luk w jakości danych. Artykuł 17 (system zarządzania jakością) wymaga, aby zarządzanie danymi było zinstytucjonalizowane w ramach szerszych procesów jakościowych dostawcy.
W przypadku systemów przetwarzających dane osobowe Artykuł 10 krzyżuje się z obowiązkami wynikającymi z RODO — Artykuł 5 (zasady dotyczące jakości danych) i Artykuł 25 (ochrona danych w fazie projektowania) to uzupełniające wymogi, które dostawcy muszą spełniać równolegle. Artykuł 10(4) wyraźnie odsyła do rozporządzenia (UE) 2016/679 i rozporządzenia (UE) 2018/1725 w celu wyznaczenia granic dopuszczalnego przetwarzania danych wrażliwych.
Harmonogram zgodności
Rozporządzenie UE w sprawie AI weszło w życie 1 sierpnia 2024 r., dwadzieścia dni po opublikowaniu w Dzienniku Urzędowym UE (Dz.U. L 2024/1689, 12 lipca 2024 r.). Artykuł 10 podlega fazowemu harmonogramowi stosowania mającemu zastosowanie do systemów AI wysokiego ryzyka:
- 2 lutego 2025 r.: Zakazy dotyczące praktyk AI niedopuszczalnego ryzyka (Artykuł 5) stały się egzekwowalne; na tym etapie brak bezpośrednich obowiązków wynikających z Artykułu 10.
- 2 sierpnia 2025 r.: Wymogi dotyczące modeli GPAI (Tytuł VIII) stały się stosowalne; krajowe organy nadzoru rynku przejęły odpowiedzialność operacyjną za nadzór nad systemami wysokiego ryzyka.
- 2 sierpnia 2026 r.: Artykuł 10 staje się w pełni egzekwowalny dla systemów AI wysokiego ryzyka wymienionych w Załączniku III (ogólne zastosowania wysokiego ryzyka, w tym identyfikacja biometryczna, infrastruktura krytyczna, edukacja, zatrudnienie, usługi podstawowe, egzekwowanie prawa, migracja i wymiar sprawiedliwości). Dostawcy muszą posiadać udokumentowane i wdrożone zgodne zarządzanie danymi do tej daty.
- 2 sierpnia 2027 r.: Artykuł 10 staje się egzekwowalny dla systemów AI wysokiego ryzyka regulowanych na podstawie Załącznika I (przepisy dotyczące bezpieczeństwa produktów, w tym maszyny, wyroby medyczne, pojazdy i lotnictwo). Systemy te muszą spełniać wszystkie wymogi dotyczące zarządzania danymi w ramach ocen zgodności produktów do tego przedłużonego terminu.
Dostawcom zdecydowanie zaleca się rozpoczęcie oceny luk w zarządzaniu danymi z odpowiednim wyprzedzeniem przed obowiązującym terminem, ponieważ naprawa zbiorów danych treningowych i pozyskiwanie zgodnych danych od stron trzecich mogą wymagać znacznego czasu realizacji.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Artykuł 10 zobowiązuje dostawców wysokiego ryzyka systemów AI do wdrożenia praktyk zarządzania danymi obejmujących zbiory danych do trenowania, walidacji i testowania. Obejmuje to zapewnienie, że zbiory danych są istotne, reprezentatywne, wolne od błędów i kompletne w odniesieniu do zamierzonego celu. Dostawcy muszą również badać dane pod kątem potencjalnych uprzedzeń oraz dokumentować wybory dotyczące gromadzenia i przetwarzania danych.
Artykuł 10 ma zastosowanie do dostawców — osób prawnych lub fizycznych, które opracowują lub zlecają opracowanie wysokiego ryzyka systemów AI w celu wprowadzenia ich do obrotu lub oddania do użytku pod własną nazwą lub znakiem towarowym. Obejmuje każdy system AI wysokiego ryzyka wymieniony w Załączniku III lub w załącznikach dotyczących regulowanych sektorów, niezależnie od tego, czy dostawca ma siedzibę wewnątrz czy poza UE.
Dla modeli open-source istnieją ograniczone wyjątki, jednak dostawcy wprowadzający wysokiego ryzyka systemy AI na rynek UE przy użyciu komponentów open-source pozostają odpowiedzialni za zgodność z Artykułem 10 w zakresie danych do trenowania, walidacji i testowania, które wykorzystują lub gromadzą dla danego systemu.
Artykuł 10 ma zastosowanie do wysokiego ryzyka systemów AI objętych Załącznikiem III (z wyłączeniem instytucji kredytowych) od 2 sierpnia 2026 r. W przypadku wysokiego ryzyka systemów AI regulowanych na podstawie szczegółowych przepisów harmonizacyjnych Unii wymienionych w Załączniku I termin upływa 2 sierpnia 2027 r. Krajowe organy nadzoru rynku przejęły obowiązki nadzorcze 2 sierpnia 2025 r.
Rozporządzenie nie określa stałego progu statystycznego. Dostawcy muszą wykazać, w drodze udokumentowanej analizy, że dane treningowe obejmują zamierzone warunki geograficzne, demograficzne, kontekstowe i operacyjne wdrożenia. Luki w reprezentacji muszą być zidentyfikowane, ocenione pod kątem ryzyka uprzedzeń i ograniczone poprzez środki techniczne lub kompensujące zabezpieczenia udokumentowane w dokumentacji technicznej.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.