Člen 27 Uredbe (EU) 2024/1689 — Ocena učinka na temeljne pravice za visokorizične sisteme umetne inteligence. Uradbesedilo, praktična razlaga, ključne obveznosti in posledice za skladnost.
Povzetek Uradnega Besedila
Člen 27 Uredbe (EU) 2024/1689 uvaja obveznost za določene upravljavce visokorizičnih sistemov UI, da pred začetkom uporabe takih sistemov opravijo oceno učinka na temeljne pravice (FRIA). Obveznost velja za upravljavce, ki so organi javnega prava, kot so opredeljeni v Direktivi 2014/24/EU, in za upravljavce, ki so zasebni subjekti, ki zagotavljajo storitve javne narave — zlasti na področjih bančništva, zavarovalništva, zdravstvenega varstva, izobraževanja in poklicnega usposabljanja, upravljanja zaposlovanja in delavcev ter upravljanja kritične infrastrukture.
Ocena mora biti opravljena pred uvedbo in mora zajemati naslednje elemente: opis procesov upravljavca, v katerih bo uporabljen visokorizični sistem UI, in njihov namen; kategorije fizičnih oseb in skupin, ki bi lahko bile prizadete; posebna tveganja za temeljne pravice, ki bi lahko izhajala iz uporabe; konkretne ukrepe, ki jih upravljavec namerava izvesti za ublažitev teh tveganj; navedbo, ali obstajajo mehanizmi za pritožbe ali pravna sredstva; in, kjer je primerno, opis učinka na otroke.
Upravljavci, ki jih pokriva obveznost, morajo pred uvedbo določenih kategorij visokorizičnih sistemov UI, navedenih v Prilogi III, obvestiti tudi ustrezni organ za nadzor trga. Ocena mora temeljiti na informacijah, ki jih je ponudnik zagotovil v skladu s Členom 13, in mora biti dokumentirana ter na voljo pristojnim organom.
Kaj to pomeni v praksi
Za organizacije v obsegu uporabe Člen 27 zahteva strukturiran, dokumentiran proces, preden začne delovati kateri koli visokorizični sistem UI. To ni enkratna formalnost — FRIA mora odsevati dejanski kontekst uvajanja in jo je treba pregledati, ko se ta kontekst bistveno spremeni.
Javna bolnišnica, ki uvaja sistem za diagnostiko ali triaž z umetno inteligenco, mora oceniti, katere skupine bolnikov bi bile lahko nesorazmerno prizadete, katera pravica so ogrožena (dostojanstvo, nediskriminacija, dostop do zdravstvenega varstva) in kakšne zaščitne ukrepe obstajajo, če sistem daje napačna priporočila. Lokalna oblast, ki uporablja sistem UI za preverjanje upravičenosti do socialnih dajatev, mora opredeliti tveganja za pravico do socialne zaščite in poštenega postopka ter dokumentirati, kako bo v praksi deloval človeški nadzor.
Zasebni subjekti, ki zagotavljajo javne finančne storitve — kot so platforme za kreditno točkovanje ali zavarovalniški prevzem — sodijo v obseg uporabe, če se kvalificirajo kot upravljavci visokorizičnih sistemov iz Priloge III. Podjetje fintech, ki uporablja model UI za ocenjevanje vlog za posojila, mora evidentirati demografske skupine, ki so izpostavljene algoritmičnim odločitvam, oceniti tveganje diskriminatornih izidov in vzpostaviti dokumentirano pot pravnih sredstev.
Upravljavci bi morali v praksi vključiti FRIA v obstoječe postopke ocenjevanja učinka na varstvo podatkov (DPIA) v skladu z GDPR, kjer je to upoštevno, saj Člen 27(4) izrecno dovoljuje, da se obe oceni opravita skupaj. Organizacije bi morale določiti odgovornega lastnika za oceno, uporabiti tehnično dokumentacijo in navodila za uporabo ponudnika kot vhodne podatke ter ustvariti verzioniran zapis, ki ga je mogoče predložiti nadzornim organom na zahtevo.
Ključne Obveznosti
- Opraviti oceno učinka na temeljne pravice pred uvedbo katerega koli visokorizičnega sistema UI v obsegu upravljavca, ki zajema predvideno uporabo, prizadete osebe, ugotovljena tveganja in načrtovane blažilne ukrepe.
- Dokumentirati oceno pisno in jo hraniti za pregled s strani pristojnih organov in organov za nadzor trga na zahtevo.
- Obvestiti ustrezni organ za nadzor trga pred uvedbo, kadar to zahteva posebna kategorija visokorizičnega sistema UI, navedena v Prilogi III.
- Uporabiti informacije in navodila za uporabo, ki jih je ponudnik sistema UI zagotovil v skladu s Členom 13, kot obvezen vložek v oceno.
- Posodobiti oceno, kadar se kontekst uvajanja bistveno spremeni, vključno s spremembami v kategorijah prizadetih oseb, namenu uporabe ali profilu tveganja sistema.
- Kjer je zahtevana tudi ocena učinka na varstvo podatkov v skladu s Členom 35 GDPR, se obe oceni lahko opravita skupaj za zmanjšanje administrativnega bremena, pod pogojem, da so pokrite vse sestavine obeh.
Razmerje do Drugih Členov
Člen 27 se nahaja v Poglavju 3 Naslova III, ki razdeljuje obveznosti med ponudnike in upravljavce. Brati ga je treba skupaj s Členom 26 (obveznosti upravljavcev na splošno), ki vzpostavlja širšo dolžnost upravljavcev, da visokorizične sisteme uporabljajo v skladu z navodili ponudnika in vzpostavijo človeški nadzor. FRIA neposredno temelji na informacijah, ki jih mora ponudnik zagotoviti v skladu s Členom 13 (preglednost in zagotavljanje informacij upravljavcem) in Členom 16(d) (obveznost ponudnika, da pripravi tehnično dokumentacijo).
Člen 27(4) vzpostavlja neposredno postopkovno povezavo z GDPR: kadar je zahtevana tudi DPIA v skladu s Členom 35 Uredbe (EU) 2016/679, se obe oceni lahko združita. Ta povezava je posebej upoštevna za upravljavce, ki obdelujejo osebne podatke, kar bo primer v večini reguliranih kontekstov, ki jih pokriva Priloga III.
Člen 27 se prav tako navezuje na Člen 72 (nadzor trga) in Člen 74 (dostop do podatkov), saj mora biti zaključena ocena na voljo pristojnim organom, ki opravljajo nadzorne funkcije.
Časovnica Skladnosti
Uredba EU o UI je začela veljati 1. avgusta 2024 (dvajset dni po objavi v Uradnem listu 12. julija 2024). Njene določbe se začnejo uporabljati postopoma:
- 2. februar 2025 — Prepovedi praks UI z nesprejemljivim tveganjem (Člen 5) so začele veljati.
- 2. avgust 2025 — Obveznosti v zvezi z modeli UI splošnega namena (Naslov VIII, Poglavje 2) in določbe o upravljanju so začele veljati.
- 2. december 2026 — Obveznosti za visokorizične sisteme UI, navedene v Prilogi I (zakonodaja o varnosti proizvodov), začnejo veljati.
- 2. avgust 2027 — Obveznosti za visokorizične sisteme UI, navedene v Prilogi III (samostojni visokorizični sistemi, vključno s tistimi, ki bodo najverjetneje sprožili FRIA v skladu s Členom 27 na področjih, kot so zaposlovanje, izobraževanje, biometrična identifikacija in dostop do javnih storitev), začnejo veljati.
Člen 27 sodi v okvir obveznosti upravljavcev visokorizičnih sistemov in postane izvršljiv 2. avgusta 2027 za sisteme iz Priloge III in 2. decembra 2026 za sisteme iz Priloge I. Upravljavci ne bi smeli čakati do teh rokov: vzpostavljanje procesov FRIA že zdaj organizacijam omogoča, da prepoznajo in odpravijo tveganja za temeljne pravice, preden se začne izvrševanje, ter da ocene uskladijo s tekočimi programi DPIA v skladu z GDPR.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Člen 27 se posebej uporablja za upravljavce visokorizičnih sistemov UI, ki so organi javnega prava, kot so opredeljeni v Direktivi 2014/24/EU, ali zasebne subjekte, ki zagotavljajo storitve javne narave, kot so bančništvo, zavarovalništvo, zdravstveno varstvo ali izobraževanje. Vsi upravljavci niso zajeti — zasebna podjetja, ki delujejo izključno v komercialnih kontekstih brez dimenzije javnih storitev, so na splošno zunaj področja uporabe te posebne obveznosti, čeprav ostanejo zavezani drugim obveznostim upravljavcev v skladu z Aktom o UI.
Ocena mora biti opravljena pred uvedbo visokorizičnega sistema UI. To je obveznost pred uvedbo, kar pomeni, da mora upravljavec oceno opraviti in dokumentirati pred začetkom uporabe sistema. Oceno je treba posodobiti, kadar pride do bistvenih sprememb v kontekstu uvajanja ali načinu uporabe sistema.
Oceno skladnosti v skladu s Členom 43 izvede ponudnik ali se izvede v njegovem imenu za preverjanje, da sistem UI izpolnjuje tehnične zahteve Poglavja 2 pred dajanjem na trg. FRIA v skladu s Členom 27 izvede upravljavec za oceno konkretnega učinka na temeljne pravice v posebnem kontekstu uvajanja. Sta komplementarni: ocena skladnosti obravnava notranjo skladnost sistema, medtem ko FRIA obravnava dejanski učinek na posameznike v danem primeru uporabe.
Člen 27 izrecno ne zahteva zunanjega revidiranja. Oceno lahko interno zaključi upravljavec. Kljub temu morajo upravljavci v določenih primerih pred uvedbo obvestiti ustrezni organ za nadzor trga, dokumentirana ocena pa mora biti na zahtevo dostopna pristojnim organom. Vključevanje zunanjih strokovnjakov je najboljša praksa, zlasti pri zapletenih ali občutljivih kontekstih uvajanja.
Upravljavci morajo uporabiti informacije, ki jih je ponudnik dal na voljo v skladu s Členom 13 (preglednost in zagotavljanje informacij) in navodila za uporabo. Ponudniki so dolžni zagotoviti zadostne informacije o predvidenem namenu, zmogljivostih, omejitvah in tveganjih sistema, da upravljavcem omogočijo smiselno oceno učinkov na temeljne pravice.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.