Člen 10 — Podatki in upravljanje podatkov (uredba EU o umetni inteligenci)

Člen 10 Uredbe (EU) 2024/1689 — Podatki in upravljanje podatkov. Uradno besedilo, praktična razlaga, ključne obveznosti in posledice za skladnost.

Povzetek uradnega besedila

Člen 10 Uredbe (EU) 2024/1689 (uredba EU o umetni inteligenci), ki se nahaja v Naslovu III, Poglavju 2, določa obvezne zahteve glede upravljanja podatkov za ponudnike visoko tveganih sistemov umetne inteligence. Člen se nanaša na nabore podatkov za usposabljanje, validacijo in testiranje, ki se uporabljajo pri razvoju takih sistemov.

V skladu s Členom 10(2) morajo prakse upravljanja podatkov obravnavati: projektne izbire pri zbiranju podatkov; operacije priprave podatkov, vključno z anotacijo, označevanjem, čiščenjem, bogatjenjem in agregiranjem; oblikovanje relevantnih predpostavk glede predvidenega namena; in preučitev morebitnih pristranskosti, ki bi lahko vplivale na zdravje, varnost ali temeljne pravice.

Člen 10(3) zahteva, da so nabori podatkov za usposabljanje, validacijo in testiranje podvrženi ustreznim praksam upravljanja podatkov ter da so relevantni, reprezentativni, brez napak in popolni glede na predvideni namen. Kadar popolna odsotnost napak ni dosegljiva, morajo ponudniki dokumentirati preostale napake in njihov možen vpliv.

Člen 10(4) obravnava obdelavo posebnih kategorij osebnih podatkov — kot so opredeljene v Členu 9 Uredbe (EU) 2016/679 (GDPR) in Členu 10 Uredbe (EU) 2018/1725 — pri čemer strogo omejuje takšno obdelavo na spremljanje in odpravljanje pristranskosti, ob upoštevanju ustreznih zaščitnih ukrepov. Člen 10(5) določa, da lahko države članice ob strogih pogojih določijo posebne pogoje za obdelavo občutljivih osebnih podatkov v javnem interesu za namene razvoja umetne inteligence. Člen 10(6) pojasnjuje, da se zahteve glede naborov podatkov sorazmerno uporabljajo za ponudnike, ki uporabljajo obstoječe nabore podatkov, ki jih niso prvotno zbrali, v obsegu, v katerem je takšen pregled tehnično izvedljiv.

Kaj to pomeni v praksi

Člen 10 nalaga konkretne obveznosti vsaki organizaciji, ki razvija ali uvajalj visoko tvegan sistem umetne inteligence v EU. V praksi je za skladnost potrebno vzpostaviti in vzdrževati strukturiran program upravljanja podatkov, ki zajema celoten razvojni življenjski cikel.

Za ponudnika, ki razvija orodje za presejanje kandidatov pri zaposlovanju s pomočjo umetne inteligence (sistem iz Priloge III, točka 4), Člen 10 zahteva dokumentiranje razlogov za izbiro določenih naborov podatkov, kateri koraki predhodne obdelave so bili uporabljeni in kako nabori podatkov zajemajo demografsko raznolikost predvidenega nabora kandidatov. Če podatki za usposabljanje ne zastopajo dovolj kandidatov iz določenih regionalnih ali etničnih okolij, mora ponudnik to vrzel identificirati, oceniti tveganje pristranskosti v zvezi z enakim obravnavanjem ter bodisi popraviti nabor podatkov bodisi izvesti tehnične ukrepe za ublažitev — vse to sledljivo v tehnični dokumentaciji, ki jo zahteva Člen 11.

Za ponudnika, ki integrira model umetne inteligence ali nabor podatkov tretje osebe, Člen 10(6) kljub temu zahteva pregled lastnosti vnaprej pripravljenih podatkov glede na predviden primer uporabe po načelu najboljšega truda. Zanašanje izključno na podatkovno tabelo ponudnika višjega toka ni zadostno; ponudniki nižjega toka morajo preveriti, da lastnosti podatkov ustrezajo njihovemu specifičnemu kontekstu uvajanja.

V praksi bi morale ekipe za skladnost: vzdrževati načrt upravljanja podatkov za vsak sistem; vzpostaviti evidence o poreklu podatkov; izvajati dokumentirane ocene pristranskosti in reprezentativnosti v fazah usposabljanja, validacije in testiranja; in zagotoviti, da je vsaka uporaba občutljivih osebnih podatkov za odpravljanje pristranskosti pokrita z zakonito podlago in ustreznimi nadzori dostopa. Ti zapisi so del tehnične dokumentacije, ki mora biti na zahtevo na voljo nacionalnim pristojnim organom.

Ključne obveznosti

Okvir upravljanja podatkov: Vzpostaviti dokumentirane prakse upravljanja in ravnanja s podatki, ki zajemajo vse faze — usposabljanje, validacijo in testiranje — pred dajanjem visoko tveganega sistema umetne inteligence na trg.
Merila kakovosti naborov podatkov: Zagotoviti, da nabori podatkov izpolnjujejo štiri kumulativna merila kakovosti: relevantnost za predvideni namen, reprezentativnost konteksta uvajanja, odsotnost napak (ali dokumentirane stopnje preostalih napak) in popolnost.
Preučitev pristranskosti: Izvesti in dokumentirati preučitev naborov podatkov glede pristranskosti, ki bi lahko vodile do diskriminacije ali tveganj za zdravje, varnost ali temeljne pravice, ter tam, kjer so pristranskosti ugotovljene, izvesti korektivne ukrepe.
Dokumentacija priprave podatkov: Evidentirati vse operacije priprave podatkov — anotacijo, označevanje, čiščenje, bogatjenje in agregiranje — skupaj s predpostavkami in projektnimi izbirami, ki so jih oblikovale.
Omejena uporaba občutljivih podatkov: Posebne kategorije osebnih podatkov obdelovati izključno za zaznavanje in odpravljanje pristranskosti, ob zaščitnih ukrepih, enakovrednih GDPR, in le kadar je to nujno potrebno in sorazmerno.
Nabori podatkov tretjih oseb in obstoječi nabori podatkov: Izvesti sorazmeren, tehnično izvedljiv pregled vseh obstoječih ali zunanjih naborov podatkov, da se preveri, ali izpolnjujejo zahteve, relevantne za specifičen primer uporabe ponudnika.

Razmerje do drugih členov

Člen 10 se nahaja v središču okvira zahtev za visoko tvegane sisteme umetne inteligence in se neposredno navezuje na številne druge določbe. Člen 9 (sistem za obvladovanje tveganj) napaja Člen 10: tveganja, ugotovljena z upravljanjem podatkov — kot je pristranskost naborov podatkov — je treba obvladovati prek iterativnega procesa obvladovanja tveganj. Člen 11 (tehnična dokumentacija) in Priloga IV zahtevata, da ponudniki evidentirajo izbire v zvezi z upravljanjem podatkov in lastnosti naborov podatkov kot del dokumentacije o skladnosti, ki jo pregledajo priglašeni organi ali ki je predmet samoocenjevanja.

Člen 13 (preglednost in zagotavljanje informacij) se opira na dokumentacijo podatkov, da bi omogočil smiselna navodila za uporabo, zlasti v zvezi z znanimi omejitvami, ki izhajajo iz vrzeli v kakovosti podatkov. Člen 17 (sistem vodenja kakovosti) zahteva, da je upravljanje podatkov institucionalizirano v okviru širših procesov kakovosti ponudnika.

Pri sistemih, ki obdelujejo osebne podatke, se Člen 10 prepleta z obveznostmi GDPR — Člen 5 (načela kakovosti podatkov) in Člen 25 (vgrajena zaščita podatkov) sta dopolnjujoči zahtevi, ki ju morajo ponudniki izpolnjevati vzporedno. Člen 10(4) izrecno napotuje na Uredbo (EU) 2016/679 in Uredbo (EU) 2018/1725, da bi se opredelila dopustna obdelava občutljivih podatkov.

Časovnica skladnosti

Uredba EU o umetni inteligenci je začela veljati 1. avgusta 2024, dvajset dni po objavi v Uradnem listu EU (UL L 2024/1689, 12. julija 2024). Člen 10 sledi faznem urniku uporabe, ki velja za visoko tvegane sisteme umetne inteligence:

2. februarja 2025: Prepovedi glede praks umetne inteligence z nesprejemljivim tveganjem (Člen 5) so postale izvršljive; v tej fazi nobene neposredne obveznosti iz Člena 10.
2. avgusta 2025: Zahteve za modele GPAI (Naslov VIII) so začele veljati; nacionalni organi za nadzor trga so prevzeli operativno odgovornost za nadzor visoko tveganih sistemov.
2. avgusta 2026: Člen 10 postane v celoti izvršljiv za visoko tvegane sisteme umetne inteligence, navedene v Prilogi III (splošno namenske visoko tvegane aplikacije, vključno z biometrično identifikacijo, kritično infrastrukturo, izobraževanjem, zaposlovanjem, bistvenimi storitvami, kazenskim pregonom, migracijami in pravosodje). Ponudniki morajo imeti upravljanje podatkov dokumentirano in vzpostavljeno v skladu s tem datumom.
2. avgusta 2027: Člen 10 postane izvršljiv za visoko tvegane sisteme umetne inteligence, ki jih ureja Priloga I (zakonodaja o varnosti proizvodov, vključno s stroji, medicinskimi pripomočki, vozili in letalstvom). Ti sistemi morajo izpolnjevati vse zahteve glede upravljanja podatkov v okviru ocen skladnosti svojih proizvodov do tega podaljšanega roka.

Ponudnikom se močno priporoča, da začnejo z ocenami vrzeli pri upravljanju podatkov pravočasno pred veljavnim rokom, saj lahko sanacija naborov podatkov za usposabljanje in nabava skladnih podatkov od tretjih oseb zahtevata znatno pripravljalni čas.

Official AI Act Compliance Deadline Calendar

Updated 2026-06-23 · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation	Applies to	Original date	New date	Status	Countdown	Legal basis
Prohibited Practices (Art. 5)	All providers and deployers	2 February 2025	2 February 2025	active	—	AI Act Art. 5
GPAI Rules (Chapter 5)	GPAI model providers	2 August 2025	2 August 2025	active	—	AI Act Art. 51-56
High-risk AI — Annex III (standalone)	Providers of standalone Annex III systems	2 August 2026	2 December 2027	deferred	—	AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded)	AI embedded in Annex I regulated products	2 August 2026	2 August 2028	deferred	—	AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking	Providers of generative GPAI systems	2 August 2025	2 August 2025	active	—	AI Act Art. 50(2)
Regulatory Sandboxes	National competent authorities	2 August 2026	2 August 2026	active	—	AI Act Art. 57

⬇ Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

Kaj zahteva Člen 10 uredbe EU o umetni inteligenci?

Člen 10 zahteva, da ponudniki visoko tveganih sistemov umetne inteligence vzpostavijo prakse upravljanja in ravnanja s podatki, ki zajemajo nabore podatkov za usposabljanje, validacijo in testiranje. To vključuje zagotavljanje, da so nabori podatkov relevantni, reprezentativni, brez napak in popolni glede na predvideni namen. Ponudniki morajo tudi preučiti podatke glede morebitnih pristranskosti ter dokumentirati izbire v zvezi z zbiranjem in obdelavo podatkov.

Na koga se nanaša Člen 10 uredbe EU o umetni inteligenci?

Člen 10 se uporablja za ponudnike — pravne ali fizične osebe, ki razvijajo ali naročajo razvoj visoko tveganih sistemov umetne inteligence z namenom dajanja na trg ali zagotavljanja storitve pod lastnim imenom ali blagovno znamko. Zajema vsak visoko tvegan sistem umetne inteligence, naveden v Prilogi III ali sektorskih prilogah za regulirane sektorje, ne glede na to, ali je ponudnik s sedežem znotraj ali zunaj EU.

Se Člen 10 nanaša na sisteme umetne inteligence z odprtokodno kodo?

Za modele z odprtokodno kodo obstajajo omejene izjeme, vendar ponudniki, ki dajejo visoko tvegane sisteme umetne inteligence na trg EU z uporabo odprtokodnih komponent, ostajajo odgovorni za skladnost s Členom 10 v zvezi s podatki za usposabljanje, validacijo in testiranje, ki jih za ta sistem uporabljajo ali zbirajo.

Kdaj postane Člen 10 izvršljiv?

Člen 10 se za visoko tvegane sisteme umetne inteligence iz Priloge III (z izjemo kreditnih institucij) začne uporabljati od 2. avgusta 2026. Za visoko tvegane sisteme umetne inteligence, ki so urejeni z določeno harmonizacijsko zakonodajo Unije, navedeno v Prilogi I, se rok podaljša do 2. avgusta 2027. Nacionalni organi za nadzor trga so naloge nadzora prevzeli 2. avgusta 2025.

Kaj se šteje za "relevanten in reprezentativen" nabor podatkov v skladu s Členom 10?

Uredba ne določa fiksnega statističnega praga. Ponudniki morajo z dokumentirano analizo dokazati, da podatki za usposabljanje zajemajo predvidene geografske, demografske, kontekstualne in operativne pogoje uvajanja. Vrzeli v reprezentativnosti je treba identificirati, oceniti glede tveganja pristranskosti in ublažiti z tehničnimi ukrepi ali nadomestnimi zaščitnimi ukrepi, dokumentiranimi v tehničnem spisu.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.