Článok 10 nariadenia (EÚ) 2024/1689 — Údaje a správa údajov. Oficiálny text, praktická interpretácia, kľúčové povinnosti a dôsledky pre dodržiavanie súladu.
Zhrnutie oficiálneho textu
Článok 10 nariadenia (EÚ) 2024/1689 (nariadenie EÚ o umelej inteligencii), nachádzajúci sa v Hlave III, Kapitole 2, stanovuje povinné požiadavky na správu údajov pre poskytovateľov systémov umelej inteligencie s vysokým rizikom. Článok sa vzťahuje na trénovacie, validačné a testovacie súbory údajov používané pri vývoji takýchto systémov.
Podľa Článku 10(2) musia postupy správy údajov zahŕňať: návrhové voľby pri zhromažďovaní údajov; operácie prípravy údajov vrátane anotácie, označovania, čistenia, obohacovania a agregácie; formuláciu relevantných predpokladov týkajúcich sa zamýšľaného použitia; a preskúmanie možných predpojatostí, ktoré môžu mať vplyv na zdravie, bezpečnosť alebo základné práva.
Článok 10(3) vyžaduje, aby trénovacie, validačné a testovacie súbory údajov podliehali primeraným postupom správy údajov a aby boli relevantné, reprezentatívne, bez chýb a úplné s ohľadom na zamýšľaný účel. Ak nie je možné dosiahnuť úplnú absenciu chýb, poskytovatelia musia zdokumentovať zvyškové chyby a ich potenciálny vplyv.
Článok 10(4) sa zaoberá spracúvaním osobitných kategórií osobných údajov — v zmysle definície v Článku 9 nariadenia (EÚ) 2016/679 (GDPR) a Článku 10 nariadenia (EÚ) 2018/1725 — pričom takéto spracúvanie striktne obmedzuje na monitorovanie a opravu predpojatostí za podmienky zavedenia primeraných záruk. Článok 10(5) stanovuje, že členské štáty môžu za prísnych podmienok stanoviť osobitné podmienky na spracúvanie citlivých osobných údajov vo verejnom záujme na účely vývoja umelej inteligencie. Článok 10(6) objasňuje, že požiadavky na súbory údajov sa primerane vzťahujú na poskytovateľov, ktorí používajú existujúce súbory údajov, ktoré pôvodne nezhromaždili, v rozsahu, v akom je takéto preskúmanie technicky uskutočniteľné.
Čo to znamená v praxi
Článok 10 ukladá konkrétne povinnosti každej organizácii, ktorá vyvíja alebo nasadzuje systém umelej inteligencie s vysokým rizikom v EÚ. V praxi si dodržiavanie súladu vyžaduje zavedenie a udržiavanie štruktúrovaného programu správy údajov, ktorý pokrýva celý vývojový životný cyklus.
Pre poskytovateľa vyvíjajúceho nástroj na skríning náborov s podporou umelej inteligencie (systém podľa Prílohy III, bod 4) Článok 10 vyžaduje zdokumentovanie dôvodov, prečo boli zvolené konkrétne súbory údajov, aké kroky predspracovania boli použité a ako súbory údajov pokrývajú demografickú rozmanitosť zamýšľanej skupiny uchádzačov. Ak trénovacie údaje nedostatočne zastupujú uchádzačov z určitých regionálnych alebo etnických prostredí, poskytovateľ musí túto medzeru identifikovať, posúdiť riziko predpojatosti z hľadiska rovnakého zaobchádzania a buď opraviť súbor údajov alebo zaviesť technické opatrenia na zmiernenie — všetko sledovateľné v technickej dokumentácii požadovanej Článkom 11.
Pre poskytovateľa integrujúceho model umelej inteligencie alebo súbor údajov od tretej strany Článok 10(6) stále vyžaduje preskúmanie vlastností vopred pripravených údajov vo vzťahu k zamýšľanému prípadu použitia v najlepšom úsilí. Spoliehanie sa výlučne na dátový list dodávateľa vyššieho stupňa nie je samo osebe postačujúce; poskytovatelia nižšieho stupňa musia overiť, že vlastnosti údajov sú v súlade s ich konkrétnym kontextom nasadenia.
V praxi by tímy pre súlad mali: udržiavať plán správy údajov pre každý systém; zavádzať záznamy o pôvode údajov; vykonávať zdokumentované hodnotenia predpojatostí a reprezentatívnosti v trénovacích, validačných a testovacích fázach; a zabezpečiť, aby akékoľvek použitie citlivých osobných údajov na opravu predpojatostí bolo kryté právnym základom a primeranými prístupovými kontrolami. Tieto záznamy tvoria súčasť technickej dokumentácie, ktorá musí byť na požiadanie dostupná národným príslušným orgánom.
Kľúčové povinnosti
- Rámec správy údajov: Zavedenie zdokumentovaných postupov správy a riadenia údajov, ktoré pokrývajú všetky fázy — trénovanie, validácia a testovanie — pred uvedením systému umelej inteligencie s vysokým rizikom na trh.
- Kritériá kvality súborov údajov: Zabezpečenie, aby súbory údajov spĺňali štyri kumulatívne kritériá kvality: relevantnosť pre zamýšľaný účel, reprezentatívnosť kontextu nasadenia, absencia chýb (alebo zdokumentované miery zvyškových chýb) a úplnosť.
- Preskúmanie predpojatostí: Vykonanie a zdokumentovanie preskúmania súborov údajov z hľadiska predpojatostí, ktoré by mohli viesť k diskriminácii alebo rizikám pre zdravie, bezpečnosť alebo základné práva, pričom sa uplatnia nápravné opatrenia tam, kde sú predpojatosti identifikované.
- Dokumentácia prípravy údajov: Zaznamenávanie všetkých operácií prípravy údajov — anotácie, označovania, čistenia, obohacovania a agregácie — spolu s predpokladmi a návrhovými voľbami, ktoré ich formovali.
- Obmedzené používanie citlivých údajov: Spracúvanie osobitných kategórií osobných údajov výlučne na účely zisťovania a opravy predpojatostí, za podmienky záruky ekvivalentnej GDPR, a len tam, kde je to prísne nevyhnutné a primerané.
- Súbory údajov od tretích strán a existujúce súbory údajov: Vykonanie primeraného, technicky uskutočniteľného preskúmania akýchkoľvek existujúcich alebo externých súborov údajov s cieľom overiť, či spĺňajú požiadavky relevantné pre konkrétny prípad použitia poskytovateľa.
Vzťah k iným článkom
Článok 10 sa nachádza v centre rámca požiadaviek pre systémy umelej inteligencie s vysokým rizikom a priamo súvisí s niekoľkými ďalšími ustanoveniami. Článok 9 (systém riadenia rizík) napája Článok 10: riziká identifikované prostredníctvom správy údajov — ako je predpojatosť súborov údajov — musia byť riadené prostredníctvom iteratívneho procesu riadenia rizík. Článok 11 (technická dokumentácia) a Príloha IV vyžadujú, aby poskytovatelia zaznamenávali voľby týkajúce sa správy údajov a charakteristiky súborov údajov ako súčasť dokumentácie o zhode preskúmanej notifikovanými orgánmi alebo samohodnotenými.
Článok 13 (transparentnosť a poskytovanie informácií) sa opiera o dokumentáciu údajov, aby umožnil zmysluplné pokyny na používanie, najmä pokiaľ ide o známe obmedzenia vyplývajúce z medzier v kvalite údajov. Článok 17 (systém manažérstva kvality) vyžaduje, aby správa údajov bola inštitucionalizovaná v rámci širších procesov kvality poskytovateľa.
Pre systémy spracúvajúce osobné údaje sa Článok 10 prelína s povinnosťami GDPR — Článok 5 (zásady kvality údajov) a Článok 25 (ochrana údajov prostredníctvom dizajnu) sú doplnkové požiadavky, ktoré musia poskytovatelia splniť súbežne. Článok 10(4) výslovne odkazuje na nariadenie (EÚ) 2016/679 a nariadenie (EÚ) 2018/1725 na vymedzenie prípustného spracúvania citlivých údajov.
Časový harmonogram dodržiavania súladu
Nariadenie EÚ o umelej inteligencii nadobudlo účinnosť 1. augusta 2024, dvadsať dní po uverejnení v Úradnom vestníku EÚ (Ú. v. EÚ L 2024/1689, 12. júla 2024). Článok 10 sa riadi etapovým harmonogramom uplatňovania platným pre systémy umelej inteligencie s vysokým rizikom:
- 2. februára 2025: Zákazy týkajúce sa postupov umelej inteligencie s neprijateľným rizikom (Článok 5) sa stali vymožiteľnými; v tejto fáze žiadna priama povinnosť podľa Článku 10.
- 2. augusta 2025: Požiadavky na modely GPAI (Hlava VIII) sa stali uplatniteľnými; národné orgány dohľadu nad trhom prevzali prevádzkovú zodpovednosť za dohľad nad systémami s vysokým rizikom.
- 2. augusta 2026: Článok 10 sa stáva plne vymožiteľným pre systémy umelej inteligencie s vysokým rizikom uvedené v Prílohe III (aplikácie s vysokým rizikom na všeobecné účely, vrátane biometrickej identifikácie, kritickej infraštruktúry, vzdelávania, zamestnanosti, základných služieb, presadzovania práva, migrácie a spravodlivosti). Poskytovatelia musia mať zdokumentovanú a zavedenú správu údajov v súlade s týmto dátumom.
- 2. augusta 2027: Článok 10 sa stáva vymožiteľným pre systémy umelej inteligencie s vysokým rizikom regulované podľa Prílohy I (právne predpisy o bezpečnosti výrobkov, vrátane strojového zariadenia, zdravotníckych pomôcok, vozidiel a letectva). Tieto systémy musia splniť všetky požiadavky na správu údajov v rámci posúdení zhody výrobkov do tohto predĺženého termínu.
Poskytovateľom sa dôrazne odporúča začať hodnotenia medzier v správe údajov s dostatočným predstihom pred príslušným termínom, keďže náprava trénovacích súborov údajov a obstarávanie vyhovujúcich údajov od tretích strán môžu vyžadovať značný čas prípravy.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Článok 10 vyžaduje, aby poskytovatelia systémov umelej inteligencie s vysokým rizikom zaviedli postupy správy a riadenia údajov, ktoré pokrývajú trénovacie, validačné a testovacie súbory údajov. To zahŕňa zabezpečenie, že súbory údajov sú relevantné, reprezentatívne, bez chýb a úplné vo vzťahu k zamýšľanému účelu. Poskytovatelia musia tiež preskúmať údaje z hľadiska potenciálnych predpojatostí a zdokumentovať voľby týkajúce sa zhromažďovania a spracovania údajov.
Článok 10 sa vzťahuje na poskytovateľov — právnické alebo fyzické osoby, ktoré vyvíjajú alebo dávajú vyvíjať systémy umelej inteligencie s vysokým rizikom s cieľom umiestniť ich na trh alebo uviesť do prevádzky pod vlastným menom alebo obchodnou značkou. Vzťahuje sa na akýkoľvek systém umelej inteligencie s vysokým rizikom uvedený v Prílohe III alebo v prílohách pre regulované sektory, bez ohľadu na to, či je poskytovateľ usadený v EÚ alebo mimo nej.
Pre modely s otvoreným zdrojovým kódom existujú obmedzené výnimky, ale poskytovatelia, ktorí umiestňujú systémy umelej inteligencie s vysokým rizikom na trh EÚ pomocou komponentov s otvoreným zdrojovým kódom, zostávajú zodpovední za súlad s Článkom 10, pokiaľ ide o trénovacie, validačné a testovacie údaje, ktoré pre daný systém používajú alebo spravujú.
Článok 10 sa vzťahuje na systémy umelej inteligencie s vysokým rizikom podľa Prílohy III (s výnimkou úverových inštitúcií) od 2. augusta 2026. Pre systémy umelej inteligencie s vysokým rizikom regulované podľa konkrétnych harmonizačných právnych predpisov Únie uvedených v Prílohe I sa lehota predlžuje do 2. augusta 2027. Národné orgány dohľadu nad trhom prevzali povinnosti dohľadu 2. augusta 2025.
Nariadenie nedefinuje pevný štatistický prah. Poskytovatelia musia prostredníctvom zdokumentovanej analýzy preukázať, že trénovacie údaje pokrývajú zamýšľané geografické, demografické, kontextové a prevádzkové podmienky nasadenia. Medzery v reprezentácii musia byť identifikované, posúdené z hľadiska rizika predpojatosti a zmiernené prostredníctvom technických opatrení alebo kompenzačných záruk zdokumentovaných v technickom súbore.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.