Artikel 10 i förordning (EU) 2024/1689 — Data och datastyrning. Officiell text, praktisk tolkning, centrala skyldigheter och efterlevnadskonsekvenser.
Sammanfattning av den officiella texten
Artikel 10 i förordning (EU) 2024/1689 (EU:s AI-förordning), som återfinns i Avdelning III, Kapitel 2, fastställer obligatoriska krav på datastyrning för leverantörer av AI-system med hög risk. Artikeln gäller utbildnings-, validerings- och testdatauppsättningar som används vid utvecklingen av sådana system.
Enligt Artikel 10(2) måste praxis för datastyrning omfatta: de designval som ligger bakom datainsamlingen; förberedande dataoperationer inklusive annotering, märkning, rensning, berikning och aggregering; formuleringen av relevanta antaganden om avsedd användning; samt en undersökning av möjliga snedvridningar som kan påverka hälsa, säkerhet eller grundläggande rättigheter.
Artikel 10(3) kräver att utbildnings-, validerings- och testdatauppsättningar ska vara föremål för lämplig datahanteringspraxis och vara relevanta, representativa, felfria och fullständiga mot bakgrund av det avsedda syftet. I de fall fullständig frihet från fel inte kan uppnås måste leverantörerna dokumentera kvarstående fel och deras potentiella påverkan.
Artikel 10(4) behandlar behandling av särskilda kategorier av personuppgifter — såsom de definieras i Artikel 9 i förordning (EU) 2016/679 (GDPR) och Artikel 10 i förordning (EU) 2018/1725 — och begränsar strikt sådan behandling till övervakning och korrigering av snedvridningar, med förbehåll för lämpliga skyddsåtgärder. Artikel 10(5) föreskriver att medlemsstater får fastställa specifika villkor för behandling av känsliga personuppgifter i allmänhetens intresse för AI-utvecklingsändamål, med förbehåll för strikta villkor. Artikel 10(6) klargör att kraven på datauppsättningar proportionellt gäller leverantörer som använder befintliga datauppsättningar som de inte ursprungligen samlade in, i den mån en sådan undersökning är tekniskt genomförbar.
Vad detta innebär i praktiken
Artikel 10 ålägger alla organisationer som utvecklar eller driftsätter ett AI-system med hög risk i EU konkreta skyldigheter. I praktiken kräver efterlevnad att ett strukturerat datastyrningsprogram upprättas och upprätthålls som sträcker sig över hela utvecklingslivscykeln.
För en leverantör som utvecklar ett AI-stött rekryteringsverktyg (ett system enligt Bilaga III, punkt 4) kräver Artikel 10 att det dokumenteras varför specifika datauppsättningar valdes, vilka förbehandlingssteg som tillämpades och hur datauppsättningarna täcker den demografiska mångfalden i den avsedda sökandekretsen. Om utbildningsdata underrepresenterar sökande från vissa regionala eller etniska bakgrunder måste leverantören identifiera denna lucka, bedöma snedvridningsrisken för likabehandling, och antingen korrigera datauppsättningen eller genomföra tekniska mildringsåtgärder — allt spårbart i den tekniska dokumentation som krävs enligt Artikel 11.
För en leverantör som integrerar en AI-modell eller datauppsättning från tredje part kräver Artikel 10(6) ändå en undersökning med bästa ansträngning av de förbyggda datans egenskaper i förhållande till det avsedda användningsfallet. Att enbart förlita sig på en uppströmleverantörs datablad är inte tillräckligt i sig; nedströmsleverantörer måste validera att dataegenskaperna stämmer överens med deras specifika driftsättningskontext.
I praktiken bör efterlevnadsteam: upprätthålla en datahanteringsplan per system; upprätta register för dataspårbarhet; genomföra dokumenterade snedvridnings- och representativitetsbedömningar vid utbildnings-, validerings- och testfaserna; och säkerställa att all användning av känsliga personuppgifter för snedvridningskorrigering täcks av en rättslig grund och lämpliga åtkomstkontroller. Dessa register utgör en del av den tekniska dokumentation som ska finnas tillgänglig för nationella behöriga myndigheter på begäran.
Centrala skyldigheter
- Datastyrningsramverk: Upprätta dokumenterad praxis för datastyrning och datahantering som täcker alla faser — utbildning, validering och testning — innan ett AI-system med hög risk släpps ut på marknaden.
- Kvalitetskriterier för datauppsättningar: Säkerställa att datauppsättningar uppfyller fyra kumulativa kvalitetskriterier: relevans för det avsedda syftet, representativitet för driftsättningskontexten, frihet från fel (eller dokumenterade kvarstående felfrekvenser) och fullständighet.
- Snedvridningsundersökning: Genomföra och dokumentera en undersökning av datauppsättningar avseende snedvridningar som kan leda till diskriminering eller risker för hälsa, säkerhet eller grundläggande rättigheter, och vidta korrigerande åtgärder där snedvridningar identifieras.
- Dokumentation av dataförberedelse: Registrera alla förberedande dataoperationer — annotering, märkning, rensning, berikning och aggregering — tillsammans med de antaganden och designval som formade dem.
- Begränsad användning av känsliga uppgifter: Behandla särskilda kategorier av personuppgifter endast för att upptäcka och korrigera snedvridningar, med GDPR-likvärdiga skyddsåtgärder, och endast när det är strikt nödvändigt och proportionerligt.
- Tredjeparts- och befintliga datauppsättningar: Genomföra en proportionerlig, tekniskt genomförbar undersökning av alla befintliga eller tredjeparts datauppsättningar för att verifiera att de uppfyller de krav som är relevanta för leverantörens specifika användningsfall.
Förhållande till andra artiklar
Artikel 10 befinner sig i centrum av kravramverket för AI-system med hög risk och kopplar direkt till flera andra bestämmelser. Artikel 9 (riskhanteringssystem) matar in i Artikel 10: risker som identifieras genom datastyrning — såsom snedvridning i datauppsättningar — måste hanteras genom den iterativa riskhanteringsprocessen. Artikel 11 (teknisk dokumentation) och Bilaga IV kräver att leverantörer registrerar datastyrningsval och datauppsättningsegenskaper som en del av den överensstämmelsedokumentation som granskas av anmälda organ eller självbedöms.
Artikel 13 (transparens och tillhandahållande av information) förlitar sig på datadokumentation för att möjliggöra meningsfulla bruksanvisningar, särskilt vad gäller kända begränsningar som härrör från datakvalitetsluckor. Artikel 17 (kvalitetsledningssystem) kräver att datastyrning institutionaliseras inom leverantörens bredare kvalitetsprocesser.
För system som behandlar personuppgifter korsar Artikel 10 GDPR-skyldigheter — Artikel 5 (datakvalitetsprinciper) och Artikel 25 (inbyggt dataskydd) är kompletterande krav som leverantörerna måste uppfylla parallellt. Artikel 10(4) hänvisar uttryckligen till förordning (EU) 2016/679 och förordning (EU) 2018/1725 för att avgränsa tillåten behandling av känsliga uppgifter.
Tidslinje för efterlevnad
EU:s AI-förordning trädde i kraft den 1 augusti 2024, tjugo dagar efter offentliggörandet i EU:s officiella tidning (EUT L 2024/1689, 12 juli 2024). Artikel 10 följer den stegvisa tillämpningsplanen som gäller för AI-system med hög risk:
- 2 februari 2025: Förbud mot AI-praxis med oacceptabel risk (Artikel 5) blev verkställbara; inga direkta skyldigheter enligt Artikel 10 vid detta tillfälle.
- 2 augusti 2025: Krav på GPAI-modeller (Avdelning VIII) blev tillämpliga; nationella marknadskontrollmyndigheter övertog det operativa ansvaret för tillsynen av högrrisksystem.
- 2 augusti 2026: Artikel 10 blir fullt verkställbar för AI-system med hög risk som förtecknas i Bilaga III (allmänna högrrisktillämpningar, inklusive biometrisk identifiering, kritisk infrastruktur, utbildning, sysselsättning, grundläggande tjänster, brottsbekämpning, migration och rättsväsendet). Leverantörerna måste ha lagenlig datastyrning dokumenterad och på plats vid detta datum.
- 2 augusti 2027: Artikel 10 blir verkställbar för AI-system med hög risk som regleras enligt Bilaga I (produktsäkerhetslagstiftning, inklusive maskiner, medicintekniska produkter, fordon och luftfart). Dessa system måste uppfylla alla krav på datastyrning inom sina produktöverensstämmelsebedömningar innan den förlängda tidsfristen.
Leverantörer rekommenderas starkt att inleda gapbedömningar av datastyrning i god tid före den tillämpliga tidsfristen, eftersom avhjälpning av utbildningsdatauppsättningar och upphandling av lagenliga tredjeparts data kan kräva betydande ledtid.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Artikel 10 kräver att leverantörer av AI-system med hög risk inför praxis för datastyrning och datahantering som täcker utbildnings-, validerings- och testdatauppsättningar. Detta inkluderar att säkerställa att datauppsättningarna är relevanta, representativa, felfria och fullständiga i förhållande till det avsedda syftet. Leverantörer måste också undersöka data för potentiella snedvridningar och dokumentera val avseende datainsamling och databehandling.
Artikel 10 gäller leverantörer — juridiska eller fysiska personer som utvecklar eller låter utveckla AI-system med hög risk för att släppa ut dem på marknaden eller ta dem i drift under eget namn eller varumärke. Det täcker alla AI-system med hög risk som förtecknas i Bilaga III eller sektorsbilagor för reglerade sektorer, oavsett om leverantören är etablerad inom eller utanför EU.
Det finns begränsade undantag för modeller med öppen källkod, men leverantörer som släpper ut AI-system med hög risk på EU-marknaden med hjälp av komponenter med öppen källkod är fortsatt ansvariga för efterlevnad av Artikel 10 avseende utbildnings-, validerings- och testdata som de använder eller samlar in för det systemet.
Artikel 10 gäller AI-system med hög risk enligt Bilaga III (exklusive kreditinstitut) från och med den 2 augusti 2026. För AI-system med hög risk som regleras av specifik harmoniseringslagstiftning för unionen som förtecknas i Bilaga I förlängs tidsfristen till den 2 augusti 2027. Nationella marknadskontrollmyndigheter inledde sina tillsynsuppgifter den 2 augusti 2025.
Förordningen definierar inget fast statistiskt tröskelvärde. Leverantörer måste genom dokumenterad analys visa att utbildningsdata täcker de avsedda geografiska, demografiska, kontextuella och operativa förhållandena för driftsättning. Representationsluckor måste identifieras, bedömas avseende snedvridningsrisk och mildras genom tekniska åtgärder eller kompenserande skyddsåtgärder som dokumenteras i den tekniska filen.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.