Kapitola III · čl. 6–49
Jádro nařízení, produktová regulace po vzoru CE značení. Klasifikace, technické požadavky, povinnosti v řetězci, oznámené subjekty a cesta na trh.
Oddíl 1 · klasifikace (čl. 6–7)
Čl. 6 Klasifikační pravidla pro vysoce rizikové systémy AI Dvě cesty do vysokého rizika. Systém je bezpečnostní komponentou regulovaného výrobku podle přílohy I s posouzením shody třetí stranou (odst. 1), nebo spadá do oblastí přílohy III (odst. 2), tedy biometrika, kritická infrastruktura, vzdělávání, zaměstnávání, základní služby a úvěry, vymáhání práva, migrace, justice. Odst. 3 dává filtr pro systémy s jen přípravnou nebo pomocnou rolí bez významného rizika, výjimku je ale nutné zdokumentovat a systém registrovat. Profilování fyzických osob je vysoce rizikové vždy. Krokové rozhodovací schéma je na kartě AI Act.
Čl. 7 Změny přílohy III Komise smí delegovanými akty seznam vysoce rizikových použití doplňovat i zužovat podle kritérií závažnosti a pravděpodobnosti újmy. Mechanismus, kterým bude příloha III žít, sledovat ji je průběžná compliance povinnost sama o sobě.
Oddíl 2 · požadavky na systém (čl. 8–15)
Čl. 8 Soulad s požadavky Systém plní požadavky oddílu s ohledem na zamýšlený účel a obecně uznávaný stav techniky. U výrobků podle přílohy I se plnění integruje do sektorových postupů, aby se neposuzovalo dvakrát.
Čl. 9 Systém řízení rizik Kontinuální iterativní proces po celý životní cyklus. Identifikace předvídatelných rizik včetně rozumně předvídatelného zneužití, opatření v návrhu, testování proti metrikám a zvláštní ohled na osoby mladší 18 let a jinak zranitelné skupiny.
Čl. 10 Data a správa dat Trénovací, validační a testovací sady musí být relevantní, dostatečně reprezentativní a v maximální možné míře bez chyb, s postupy správy dat od sběru přes labeling po detekci a mitigaci zkreslení. Zpracování zvláštních kategorií osobních údajů pro odhalování zkreslení jen za přísných kumulativních podmínek. Pro praxi nejdražší článek nařízení.
Čl. 11 Technická dokumentace Před uvedením na trh a průběžně aktuální, obsah podle přílohy IV. Malé a střední podniky mohou použít zjednodušený formulář Komise.
Čl. 12 Vedení záznamů Systém automaticky loguje události po celý životní cyklus tak, aby šla zpětně dohledat riziková situace, podstatná změna i podklad pro monitoring po uvedení na trh.
Čl. 14 Lidský dohled Dohled musí být účinný, dohlížející osoba rozumí schopnostem a limitům, umí výstup správně interpretovat, nepodlehnout automation bias a zasáhnout nebo systém zastavit. U vzdálené biometrické identifikace nesmí být opatření přijato na základě samotného výstupu bez ověření nejméně dvěma způsobilými fyzickými osobami.
Oddíl 3 · povinnosti v řetězci (čl. 16–27)
Čl. 16 Povinnosti poskytovatelů vysoce rizikových systémů AI Souhrnný katalog. Zajistit shodu s oddílem 2, mít systém řízení kvality, vést dokumentaci a logy, projít posouzením shody, vydat prohlášení, označit CE, registrovat, přijímat nápravná opatření, spolupracovat s orgány a splnit požadavky na přístupnost podle směrnic (EU) 2016/2102 a 2019/882.
Čl. 17 Systém řízení kvality Písemně zdokumentovaný systém pokrývající strategii shody, návrh a vývoj, testování, správu dat, řízení rizik, monitoring po uvedení na trh, hlášení incidentů i komunikaci s orgány. Obdoba QMS ze světa zdravotnických prostředků.
Čl. 18 Uchovávání dokumentace Technická dokumentace, dokumentace QMS, prohlášení o shodě a certifikáty k dispozici orgánům deset let od uvedení systému na trh.
Čl. 23 Povinnosti dovozců Před uvedením ověřit, že proběhlo posouzení shody, existuje dokumentace, systém nese CE a poskytovatel má zástupce. Dovozce se podepisuje na obal a nesmí uvést systém, o kterém ví, že nevyhovuje.
Čl. 24 Povinnosti distributorů Ověření označení a dokumentů, skladování a přeprava neohrožující shodu a povinnost stáhnout nebo nahlásit systém představující riziko.
Čl. 25 Povinnosti v celém hodnotovém řetězci AI Nejpodceňovanější článek nařízení. Kdo cizí vysoce rizikový systém opatří vlastní značkou, podstatně ho změní, nebo změní účel obecného systému na vysoce rizikový, stává se poskytovatelem se všemi povinnostmi. Původní poskytovatel předává dokumentaci a dodavatelé komponent uzavírají písemné dohody o součinnosti. Přesně tudy do režimu vklouznou integrátoři stavějící na cizích modelech.
Čl. 26 Povinnosti zavádějících subjektů vysoce rizikových systémů AI Používat podle návodu, svěřit dohled kompetentním osobám, zajistit relevantní vstupní data, monitorovat provoz, hlásit incidenty, uchovávat logy nejméně šest měsíců, před nasazením na pracovišti informovat zaměstnance a jejich zástupce a informovat osoby, o kterých systém pomáhá rozhodovat.
Čl. 27 Posouzení dopadu vysoce rizikových systémů AI na základní práva Veřejnoprávní zavádějící subjekty, soukromí poskytovatelé veřejných služeb a zavádějící subjekty u úvěrového scoringu a životního pojištění před prvním použitím popíší procesy, dotčené skupiny, rizika újmy, lidský dohled a nápravná opatření, a oznámí to dozorovému orgánu. Navazuje na DPIA z GDPR, kde už existuje, doplní se.
Oddíl 4 · oznamující orgány a oznámené subjekty (čl. 28–39)
Čl. 28 Oznamující orgány Každý stát určí orgán, který posuzuje, oznamuje a monitoruje subjekty posuzování shody, s garancí nestrannosti vůči nim.
Čl. 30 Postup oznamování Notifikace Komisi a státům elektronicky, s okny pro námitky, teprve pak smí subjekt působit jako oznámený.
Čl. 36 Změny v oznámeních Postup při ztrátě způsobilosti, pozastavení nebo zrušení a osud vydaných certifikátů včetně převodu spisů k jinému subjektu.
Oddíl 5 · normy, shoda, certifikáty, registrace (čl. 40–49)
Čl. 41 Společné specifikace Když normy chybí nebo nestačí, Komise může prováděcím aktem vydat vlastní specifikace se stejným účinkem domněnky.
Čl. 43 Posuzování shody U biometriky si poskytovatel volí mezi interní kontrolou podle přílohy VI a posouzením s oznámeným subjektem podle přílohy VII, u ostatních oblastí přílohy III stačí interní kontrola. Systémy ve výrobcích podle přílohy I jedou v sektorových postupech. Podstatná změna systému znamená nové posouzení.
Čl. 44 Certifikáty Vydávají oznámené subjekty na omezenou dobu s možností prodloužení, pozastavení a odnětí, proti čemuž existuje odvolací postup.
Čl. 46 Odchylka od postupu posuzování shody Dozorový orgán může z výjimečných důvodů veřejné bezpečnosti, ochrany života a zdraví, životního prostředí nebo klíčových aktiv povolit uvedení na trh bez dokončeného posouzení, dočasně a pod kontrolou.
Čl. 48 Označení CE Viditelně, čitelně, nesmazatelně, u digitálních systémů digitálně, s číslem oznámeného subjektu tam, kde se účastnil.
Čl. 49 Registrace Poskytovatel se před uvedením na trh registruje do databáze EU podle čl. 71, registrují se i systémy vyňaté filtrem čl. 6 odst. 3 a veřejnoprávní zavádějící subjekty. Citlivé oblasti (vymáhání práva, migrace) jdou do neveřejné části.