Článok 2 — Rozsah pôsobnosti (Nariadenie EÚ o umelej inteligencii)

Článok 2 nariadenia (EÚ) 2024/1689 — Rozsah pôsobnosti. Oficiálny text, praktická interpretácia, kľúčové povinnosti a dôsledky pre dodržiavanie súladu.

Zhrnutie oficiálneho textu

Článok 2 nariadenia (EÚ) 2024/1689 vymedzuje vecný a územný rozsah pôsobnosti Nariadenia EÚ o umelej inteligencii. Stanovuje, ktoré subjekty, systémy a okolnosti patria do pôsobnosti nariadenia.

Ratione personae sa nariadenie vzťahuje na: (1) poskytovateľov, ktorí uvádzajú systémy umelej inteligencie na trh Únie alebo ich uvádzajú do prevádzky v EÚ, bez ohľadu na miesto ich usadenia; (2) prevádzkovateľov systémov umelej inteligencie, ktorí sú usadení alebo umiestnení v EÚ; (3) poskytovateľov a prevádzkovateľov usadených v tretích krajinách, keď sa výstup produkovaný systémom umelej inteligencie používa v Únii; (4) dovozcov a distribútorov systémov umelej inteligencie; a (5) výrobcov výrobkov, ktorí uvádzajú systémy umelej inteligencie ako bezpečnostné komponenty regulovaných výrobkov na trh Únie.

Článok 2 ďalej objasňuje, že nariadenie sa nevzťahuje na systémy umelej inteligencie vyvinuté alebo používané výlučne na vojenské, národnobezpečnostné alebo obranné účely, ani na systémy umelej inteligencie používané orgánmi verejnej moci tretích krajín alebo medzinárodnými organizáciami v kontexte medzinárodných dohôd o spolupráci v oblasti presadzovania práva a justičnej spolupráce. Systémy umelej inteligencie, ktoré ešte neboli uvedené na trh a stále sa nachádzajú vo fáze výskumu a vývoja, pred ich sprístupnením používateľom, tiež spadajú mimo rozsahu pôsobnosti.

Ak je prevádzkovateľ alebo poskytovateľ usadený mimo EÚ, ale výstup systému umelej inteligencie sa používa v EÚ, nariadenie sa napriek tomu uplatňuje, čím sa ustanovuje silná extrateritoriálna pôsobnosť porovnateľná s modelom GDPR.

Čo to znamená v praxi

Článok 2 určuje, či vaša organizácia musí alebo nemusí dodržiavať Nariadenie EÚ o umelej inteligencii — ide o prahovú otázku, na ktorú musí každý právny tím a tím pre dodržiavanie súladu odpovedať predtým, ako možno posúdiť akékoľvek povinnosti.

Pre spoločnosti so sídlom v EÚ je analýza priamočiara: ak vyvíjate, nasadzujete, dovážate, distribuujete alebo integrujete systémy umelej inteligencie do výrobkov alebo služieb dostupných v EÚ, ste v rozsahu pôsobnosti. To zahŕňa poskytovateľov SaaS ponúkajúcich funkcie založené na umelej inteligencii, podniky nasadzujúce nástroje umelej inteligencie v oblasti HR, poskytovania úverov alebo zdravotnej starostlivosti, a výrobcov integrujúcich umelú inteligenciu do fyzických výrobkov podliehajúcich existujúcej legislatíve EÚ o bezpečnosti výrobkov.

Pre spoločnosti mimo EÚ je kritickým testom to, či výstup systému umelej inteligencie dosahuje alebo ovplyvňuje jednotlivcov alebo subjekty v EÚ. Napríklad spoločnosť so sídlom v USA poskytujúca nástroj umelej inteligencie na skríning náboru, ktorý používajú európske dcérske spoločnosti nadnárodných spoločností, je v rozsahu pôsobnosti, aj keď samotná spoločnosť nemá žiadnu prítomnosť v EÚ. Takíto poskytovatelia musia určiť oprávneného zástupcu v Únii.

Prakticky by tímy pre dodržiavanie súladu mali najprv zmapovať každý systém umelej inteligencie v používaní alebo vo vývoji a potom na každý z nich uplatniť kritériá Článku 2. Systémy používané výlučne na interný výskum a vývoj — nenasadené pre koncových používateľov — môžu byť zdokumentované ako mimo rozsahu pôsobnosti, ale tento štatút musí byť aktívne udržiavaný a opätovne posúdený pri nasadení. Výnimky pre vojenské a národnobezpečnostné účely sú úzke a nemalo by sa predpokladať, že sa vzťahujú na systémy dvojakého použitia alebo nástroje na presadzovanie práva bez starostlivého právneho preskúmania.

Poskytovatelia modelov s otvoreným zdrojovým kódom profitujú z niektorých uvoľnených povinností, ale zostávajú v rozsahu pôsobnosti pre zakázané praktiky a klasifikácie vysokého rizika.

Kľúčové povinnosti

• Určenie rozsahu pôsobnosti: Organizácie musia kladne určiť, či patria do jednej z vymedzených kategórií subjektov (poskytovateľ, prevádzkovateľ, dovozca, distribútor alebo výrobca výrobkov), predtým ako posúdia, ktorá úroveň povinností sa na ne vzťahuje.
• Extrateritoriálny súlad: Poskytovatelia mimo EÚ, ktorých výstupy systémov umelej inteligencie sa používajú v Únii, musia dodržiavať nariadenie a určiť oprávneného zástupcu usadeného v EÚ.
• Jasnosť rolí: Keď tá istá organizácia vystupuje súčasne ako poskytovateľ aj prevádzkovateľ, oba súbory povinností sa uplatňujú kumulatívne; organizácie musia každú rolu dokumentovať a spravovať samostatne.
• Dokumentácia hranice výskumu a vývoja: Organizácie, ktoré sa spoliehajú na výnimku pre výskum a vývoj, musia viesť jasné záznamy preukazujúce, že systém nebol uvedený na trh ani uvedený do prevádzky, a musia opätovne posúdiť rozsah pôsobnosti v každej fáze vývoja.
• Úzky výklad výnimiek: Vojenské, národnobezpečnostné a obranné výnimky musia byť uplatňované striktne; systémy umelej inteligencie dvojakého použitia alebo tie, ktoré sa používajú v kontextoch všeobecného presadzovania práva, sa automaticky nekvalifikujú na výnimku.
• Určenie oprávneného zástupcu: Poskytovatelia z tretích krajín v rozsahu pôsobnosti musia formálne určiť a zdokumentovať oprávneného zástupcu v EÚ ako súčasť svojej infraštruktúry pre dodržiavanie súladu.

Vzťah k iným článkom

Článok 2 je vstupným bodom do celého regulačného rámca a musí sa čítať spolu s niekoľkými základnými ustanoveniami. Článok 3 (Vymedzenie pojmov) je nevyhnutný na interpretáciu kľúčových pojmov použitých v Článku 2, najmä vymedzení pojmov „systém umelej inteligencie", „poskytovateľ" a „prevádzkovateľ", ktoré určujú rozsah pôsobnosti. Článok 5 (Zakázané praktiky umelej inteligencie) sa vzťahuje na všetky subjekty v rozsahu pôsobnosti bez ohľadu na úroveň rizika, čo z správneho určenia rozsahu pôsobnosti podľa Článku 2 robí predpoklad pre posúdenie najzávažnejších povinností. Článok 6 (Klasifikácia vysokorizikových systémov umelej inteligencie) a Článok 51 (Klasifikácia modelov GPAI) sú relevantné až po potvrdení rozsahu pôsobnosti Článku 2. Pre organizácie, ktoré využívajú cestu poskytovateľa z tretej krajiny, sa Článok 2 priamo prepája s Článkom 25 (Povinnosti dovozcov) a Článkom 26 (Povinnosti distribútorov). Extrateritoriálny dosah ustanovený v Článku 2 odráža logiku Článku 3 GDPR a regulačné orgány potvrdili, že tieto ustanovenia by sa mali čítať konzistentne.

Harmonogram dodržiavania súladu

Článok 2 nadobudol účinnosť 1. augusta 2024, dvadsať dní po uverejnení nariadenia v Úradnom vestníku EÚ. Jeho praktické povinnosti sa však aktivujú podľa fázového harmonogramu uplatňovania nariadenia:

• 2. február 2025: Rozsah pôsobnosti Článku 2 sa plne uplatňuje v súvislosti so zakázanými praktikami umelej inteligencie podľa Článku 5 — organizácie mali do tohto dátumu dokončiť určenie rozsahu pôsobnosti, aby posúdili, či niektorý z ich systémov patrí do zakázaných kategórií.
• 2. august 2025: Rozsah pôsobnosti sa vzťahuje na poskytovateľov modelov umelej inteligencie na všeobecné účely (GPAI) podľa Hlavy VIII (Články 51–56), vrátane hodnotení systémového rizika a povinností transparentnosti.
• 2. august 2026: Povinnosti pre inštitúcie a orgány EÚ používajúce systémy umelej inteligencie podľa Článku 2 ods. 1 písm. h) sa stávajú uplatniteľnými.
• 2. december 2026: Rozsah pôsobnosti Článku 2 sa vzťahuje na vysokorizikové systémy umelej inteligencie uvedené v Prílohe I (bezpečnostné komponenty regulovaných výrobkov).
• 2. august 2027: Úplné uplatňovanie na vysokorizikové systémy umelej inteligencie uvedené v Prílohe III (samostatné vysokorizikové aplikácie v oblastiach ako zamestnanosť, vzdelávanie, kritická infraštruktúra a presadzovanie práva).

Organizácie by mali považovať august 2024 za dátum, od ktorého mali začať cvičenia na mapovanie rozsahu pôsobnosti, pričom každý následný termín spúšťa zodpovedajúci pracovný tok pre dodržiavanie súladu.