Člen 26 Uredbe (EU) 2024/1689 — Obveznosti upravljavcev visokotveganih sistemov umetne inteligence. Uradno besedilo, praktična razlaga, ključne obveznosti in posledice za skladnost.
Povzetek uradnega besedila
Člen 26 Uredbe (EU) 2024/1689 določa obveznosti, ki jih morajo izpolnjevati upravljavci — tisti, ki visokotvegane sisteme umetne inteligence dajejo v uporabo — in je vključen v naslov III, poglavje 3 zakona. Člen določa, da morajo upravljavci sprejeti ustrezne tehnične in organizacijske ukrepe, da zagotovijo, da take sisteme uporabljajo v skladu z navodili za uporabo ponudnika (člen 26(1)). Upravljavci morajo nalogo človeškega nadzora dodeliti osebam, ki imajo potrebne kompetence, usposobljenost in pristojnost za njegovo učinkovito izvajanje (člen 26(2)).
Kadar upravljavci določajo namen uporabe ali bistveno vplivajo na delovanje sistema umetne inteligence, nosijo povečane odgovornosti, primerljive z vlogo ponudnika. Upravljavci morajo na podlagi navodil za uporabo spremljati delovanje visokotveganih sistemov umetne inteligence in, kjer je to relevantno, obvestiti ponudnika o vseh ugotovljenih tveganjih (člen 26(5)). Ne smejo sistema uporabljati na načine, ki so v nasprotju s temi navodili, niti na osebje izvajati pritiska, ki bi lahko ogrozil ustrezen nadzor.
Člen 26(7) zahteva, da upravljavci hranijo dnevnike, ki jih visokotvegani sistem umetne inteligence samodejno ustvari, v obsegu, v katerem so ti dnevniki pod njihovim nadzorom, in sicer za obdobje, ki je ustrezno za predvideni namen in veljavna sektorska pravila, a ne manj kot šest mesecev. Člen 26(9) nalaga obveznost javnim organom in določenim zasebnim operaterjem, da pred uvedbo izvedejo in dokumentirajo oceno učinka na temeljne pravice ter jo registrirajo v bazi podatkov EU, vzpostavljeni v skladu s čl. 71.
Kaj to pomeni v praksi
Člen 26 neposredno vpliva na vsako organizacijo, ki visokotvegani sistem umetne inteligence integrira v svoje poslovanje, ne da bi bila razvijalec ali prvotni ponudnik tega sistema. Tipični upravljavci so bolnišnice, ki uporabljajo orodja za diagnostiko, podprta z umetno inteligenco, delodajalci, ki umetno inteligenco uporabljajo pri pregledovanju kandidatov za zaposlitev, banke, ki uporabljajo mehanizme za ocenjevanje kreditnega tveganja na podlagi umetne inteligence, in javni organi, ki umetno inteligenco uporabljajo za odločanje o upravičenosti do dajatev.
Konkretno mora upravljavec začeti z natančnim prebiranjem in izvajanjem navodil za uporabo ponudnika — ta postanejo izhodišče za skladnost. Pred zagonom mora upravljavec ugotoviti, kateri delavec ali ekipa nosi odgovornost za nadzor, in zagotoviti, da imajo usposobljenost in pristojnost za posredovanje, zaustavitev ali razveljavitev izhodov sistema. Izvajanje pritiska za ignoriranje ali obhajanje nadzornih mehanizmov je izrecno prepovedano.
Med delovanjem mora upravljavec shranjevati dnevnike, ki jih ustvari sistem. Za banko, ki uvaja model kreditnega tveganja tretje strani, to pomeni ohranjanje samodejno ustvarjenih odločitvenih dnevnikov vsaj šest mesecev in zagotavljanje njihove dostopnosti za revizijo ali regulatorno inšpekcijo. Če sistem začne ustvarjati nepričakovane izhode ali je vpleten v incident, ki povzroča ali bi lahko povzročil škodo, mora upravljavec nemudoma stopiti v kontakt s ponudnikom in, če je to potrebno, z nacionalnim nadzornim organom.
Upravljavci v javnem sektorju in zasebna podjetja, ki zagotavljajo javne storitve, se soočajo z dodatnim korakom: formalna ocena učinka na temeljne pravice mora biti zaključena in registrirana v bazi podatkov EU pred aktivacijo sistema. Ta ocena mora ugotoviti predvidljive učinke na pravice, kot so prepoved diskriminacije, zasebnost in pravičen postopek, ter dokumentirati blažilne ukrepe.
Upravljavci, ki prekoračijo svoja navodila — s spremembo namena sistema za drugačen primer uporabe ali bistveno spremembo njegove konfiguracije — tvegajo ponovna uvrstitev kot ponudniki v skladu s čl. 25, kar prinaša celotno breme obveznosti ponudnika, vključno z ocenjevanjem skladnosti.
Ključne obveznosti
- Upoštevajte navodila za uporabo: Visokotvegani sistem umetne inteligence uvajajte in upravljajte strogo v skladu z navodili ponudnika; vsaka uporaba zunaj predvidenega namena sproži morebitno ponovno uvrstitev kot ponudnika.
- Zagotovite usposobljen človeški nadzor: Imenujte posameznike z ustreznimi kompetencami, usposobljenostjo in pristojnostjo za izvajanje učinkovitega človeškega nadzora; osebja ne usmerjajte niti ga ne spodbujajte k obhajanuju nadzornih funkcij.
- Spremljajte in poročajte o tveganjih in incidentih: Neprekinjeno spremljajte delovanje sistema; nemudoma obvestite ponudnika in, kjer je to primerno, ustrezni organ za nadzor trga o vsakem resnem tveganju ali incidentu, ugotovljenem med uporabo.
- Hranite samodejno ustvarjene dnevnike: Ohranjajte dnevnike, ki jih ustvari sistem umetne inteligence, vsaj šest mesecev ali dlje, kadar to zahteva veljavna zakonodaja ali sektorska pravila, v obsegu, v katerem so ti dnevniki pod nadzorom upravljavca.
- Izvedite in registrirajte oceno učinka na temeljne pravice: Upravljavci, ki so organi javnega prava, in zasebni operaterji, ki zagotavljajo javne storitve, morajo pred uvedbo zaključiti dokumentirano oceno učinka na temeljne pravice in jo registrirati v bazi podatkov EU.
- Obvestite in zaščitite prizadete delavce: Kadar se sistem uporablja v kontekstu zaposlovanja, morajo upravljavci pred uvedbo obvestiti predstavnike delavcev in prizadete posameznike v skladu z veljavnim pravom Unije in nacionalnim pravom.
Razmerje z drugimi členi
Člen 26 je treba brati skupaj z več med seboj povezanimi določbami. Čl. 25 opredeljuje, kdaj je upravljavec znova uvrščen kot ponudnik — prag, ki ga morajo upravljavci aktivno spremljati vsakič, ko spremenijo ali spremenijo namen sistema. Čl. 13 (Preglednost in zagotavljanje informacij upravljavcem) ureja, kaj mora ponudnik sporočiti prek navodil za uporabo, in neposredno oblikuje, kako izgleda skladnost s členom 26(1). Čl. 14 (Človeški nadzor) razčlenjuje tehnične zahteve, ki jih morajo ponudniki vgraditi v sisteme, da upravljavcem omogočijo izpolnjevanje njihovih nadzornih dolžnosti v skladu s členom 26(2).
Čl. 71 (Baza podatkov EU) podpira zahtevo po registraciji, ki jo javnim upravljavcem nalaga člen 26(9). Čl. 73 (Poročanje o resnih incidentih) dopolnjuje člen 26(5) z natančnejšim opisom postopkovnega okvira za obvestila o incidentih. V kontekstu zaposlovanja se člen 26(6) prepleta z Direktivo 2002/14/ES o obveščanju in posvetovanju z delavci. Za upravljavce v reguliranih sektorjih — financah, zdravstvu, prometu — sektorsko pravo Unije lahko nalaga dodatne ali prekrivne obveznosti, ki so v medsebojnem razmerju z izhodiščem člena 26.
Časovni načrt skladnosti
Zakon EU o umetni inteligenci je začel veljati 1. avgusta 2024, pri čemer se obveznosti uporabljajo po faznem urniku. Določbe o prepovedanih praksah umetne inteligence so se začele uporabljati 2. februarja 2025. Obveznosti v zvezi z modeli umetne inteligence splošne namembnosti so se začele uporabljati 2. avgusta 2025.
Člen 26 kot obveznost, ki se uporablja za visokotvegane sisteme umetne inteligence, navedene v Prilogi III, začne veljati 2. avgusta 2026 za večino visokotveganih sistemov, s podaljšanim rokom 2. avgusta 2027 za visokotvegane sisteme umetne inteligence na področjih zaposlovanja, izobraževanja in dostopa do bistvenih storitev, kjer se uporablja obstoječa harmonizacijska zakonodaja Unije (sistemi, navedeni v Prilogi I). Upravljavci bi morali zato 2. avgust 2026 obravnavati kot primarni rok za skladnost glede operativne pripravljenosti, določitve človeškega nadzora, infrastrukture za shranjevanje dnevnikov in postopkov ocenjevanja učinka na temeljne pravice, hkrati pa nemudoma začeti s pripravljalnimi deli, da si zagotovijo zadosten čas za upravljanje, pregled nabave in usposabljanje osebja.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Upravljavec je vsaka fizična ali pravna oseba, javni organ, agencija ali drug subjekt, ki uporablja visokotvegani sistem umetne inteligence pod lastno pristojnostjo, razen kadar se sistem uporablja v okviru izključno osebne neprofesionalne dejavnosti. To vključuje podjetja, javne institucije in operaterje, ki v svoje delovne tokove integrirajo visokotvegano umetno inteligenco tretjih strani.
Upravljavci morajo izvajati ustrezne tehnične in organizacijske ukrepe, da zagotovijo, da visokotvegane sisteme umetne inteligence uporabljajo v skladu z navodili za uporabo, ki jih zagotovi ponudnik. Prav tako morajo dodeliti človeški nadzor usposobljenim posameznikom, spremljati delovanje in prekiniti uporabo, če ugotovijo tveganja.
Da. Člen 26(9) zahteva, da upravljavci, ki so organi, ki jih ureja javno pravo, ali zasebni operaterji, ki zagotavljajo javne storitve, pred začetkom uporabe določenih visokotveganih sistemov umetne inteligence izvedejo oceno učinka na temeljne pravice. Ta ocena mora biti registrirana v bazi podatkov EU pred uvedbo.
V skladu s členom 26(5) morajo upravljavci nemudoma obvestiti ponudnika in, kadar je to primerno, ustrezni organ za nadzor trga. Če upravljavec ne more vzpostaviti stika s ponudnikom, mora neposredno obvestiti organ. Obveznost velja, kadar ima upravljavec razlog za prepričanje, da sistem predstavlja tveganje ali je povzročil resni incident.
Ne. Ocenjevanje skladnosti je odgovornost ponudnika v skladu s čl. 43. Upravljavci so odgovorni za pravilno uporabo v skladu z navodili ponudnika, ustrezen človeški nadzor, upravljanje podatkov za vhodne podatke, ki jih nadzorujejo, in obveznosti poročanja. Upravljavci, ki bistveno spremenijo sistem, pa lahko pridobijo obveznosti ponudnika.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.