Obligațiile implementatorilor de sisteme de IA cu grad ridicat de risc

(1)   Implementatorii sistemelor de IA cu grad ridicat de risc iau măsuri tehnice și organizatorice corespunzătoare pentru a oferi siguranța că utilizează astfel de sisteme în conformitate cu instrucțiunile de utilizare care însoțesc sistemele, în temeiul alineatelor (3) și (6).

(2)   Implementatorii încredințează supravegherea umană unor persoane fizice care au competența, formarea și autoritatea necesare, precum și sprijinul necesar.

(3)   Obligațiile de la alineatele (1) și (2) nu aduc atingere altor obligații ale implementatorilor în temeiul dreptului Uniunii sau al dreptului intern și nici libertății implementatorilor de a-și organiza propriile resurse și activități în scopul punerii în aplicare a măsurilor de supraveghere umană indicate de furnizor.

(4)   Fără a aduce atingere alineatelor (1) și (2), în măsura în care exercită controlul asupra datelor de intrare, implementatorul se asigură că datele de intrare sunt relevante și suficient de reprezentative în raport cu scopul preconizat al sistemului de IA cu grad ridicat de risc.

(5)   Implementatorii monitorizează funcționarea sistemului de IA cu grad ridicat de risc pe baza instrucțiunilor de utilizare și, atunci când este cazul, informează furnizorii în conformitate cu articolul 72. În cazul în care au motive să considere că utilizarea sistemului de IA cu grad ridicat de risc în conformitate cu instrucțiunile poate conduce la situația în care sistemul de IA respectiv prezintă un risc în sensul articolului 79 alineatul (1), implementatorii informează fără întârzieri nejustificate furnizorul sau distribuitorul și autoritatea relevantă de supraveghere a pieței și suspendă utilizarea sistemului respectiv. De asemenea, în cazul în care au identificat un incident grav, implementatorii informează imediat mai întâi furnizorul, și apoi importatorul sau distribuitorul și autoritățile relevante de supraveghere a pieței cu privire la incidentul respectiv. În cazul în care implementatorul nu poate comunica cu furnizorul, articolul 73 se aplică mutatis mutandis. Această obligație nu vizează datele operaționale sensibile ale implementatorilor sistemelor de IA care sunt autorități de aplicare a legii.

În cazul implementatorilor care sunt instituții financiare supuse unor cerințe privind guvernanța internă, măsurile sau procesele interne în temeiul dreptului Uniunii din domeniul serviciilor financiare, se consideră că obligația de monitorizare prevăzută la primul paragraf este îndeplinită prin respectarea normelor privind mecanismele, procesele și măsurile de guvernanță internă în temeiul dreptului relevant din domeniul serviciilor financiare.

(6)   Implementatorii sistemelor de IA cu grad ridicat de risc păstrează fișierele de jurnalizare generate automat de respectivele sisteme de IA cu grad ridicat de risc, în măsura în care aceste fișiere de jurnalizare se află sub controlul lor pentru o perioadă adecvată scopului preconizat al sistemului de IA cu grad ridicat de risc, de cel puțin șase luni, cu excepția cazului în care se prevede altfel în dreptul Uniunii sau în dreptul intern aplicabil, în special în dreptul Uniunii privind protecția datelor cu caracter personal.

Implementatorii care sunt instituții financiare supuse unor cerințe privind guvernanța internă, măsurile sau procesele interne în temeiul dreptului Uniunii din domeniul serviciilor financiare păstrează fișierele de jurnalizare ca parte a documentației păstrate în temeiul dreptului relevant al Uniunii din domeniul serviciilor financiare.

(7)   Înainte de a pune în funcțiune sau de a utiliza un sistem de IA cu grad ridicat de risc la locul de muncă, implementatorii care sunt angajatori informează reprezentanții lucrătorilor și lucrătorii afectați că vor fi implicați în utilizarea sistemului de IA cu grad ridicat de risc. Informațiile respective sunt furnizate, după caz, în conformitate cu normele și procedurile prevăzute în dreptul și practicile de la nivelul Uniunii și de la nivel național privind informarea lucrătorilor și a reprezentanților acestora.

(8)   Implementatorii sistemelor de IA cu grad ridicat de risc care sunt autorități publice sau instituții, organe, oficii sau agenții ale Uniunii respectă obligațiile de înregistrare menționate la articolul 49. În cazul în care constată că sistemul de IA cu grad ridicat de risc pe care intenționează să îl utilizeze nu a fost înregistrat în baza de date a UE menționată la articolul 71, implementatorii respectivi nu utilizează sistemul respectiv și informează furnizorul sau distribuitorul.

(9)   După caz, implementatorii de sisteme de IA cu grad ridicat de risc utilizează informațiile furnizate în temeiul articolului 13 din prezentul regulament pentru a-și respecta obligația de a efectua o evaluare a impactului asupra protecției datelor în temeiul articolului 35 din Regulamentul (UE) 2016/679 sau al articolului 27 din Directiva (UE) 2016/680.

(10)   Fără a aduce atingere Directivei (UE) 2016/680, în cadrul unei investigații pentru căutarea în mod specific a unei persoane suspectate sau condamnate de a fi comis o infracțiune, implementatorul unui sistem de IA cu grad ridicat de risc pentru identificarea biometrică la distanță ulterioară solicită o autorizație, ex ante sau fără întârzieri nejustificate și în termen de cel mult 48 de ore, din partea unei autorități judiciare sau a unei autorități administrative a cărei decizie are efect obligatoriu și face obiectul controlului jurisdicțional, pentru utilizarea sistemului respectiv, cu excepția cazului în care este utilizat pentru identificarea inițială a unui potențial suspect pe baza unor fapte obiective și verificabile legate direct de infracțiune. Fiecare utilizare se limitează la ceea ce este strict necesar pentru investigarea unei anumite infracțiuni.

În cazul în care autorizația solicitată în temeiul primului paragraf este respinsă, utilizarea sistemului de identificare biometrică la distanță ulterioară legat de autorizația solicitată respectivă se oprește cu efect imediat, iar datele cu caracter personal legate de utilizarea sistemului de IA cu grad ridicat de risc pentru care a fost solicitată autorizația se șterg.

În niciun caz, un astfel de sistem de IA cu grad ridicat de risc pentru identificarea biometrică la distanță ulterioară nu se utilizează într-un mod nedirecționat în scopul aplicării legii, dacă nu implică nicio legătură cu o infracțiune, cu o procedură penală, cu o amenințare reală și prezentă sau reală și previzibilă vizând o infracțiune sau căutarea unei anumite persoane dispărute. Se asigură faptul că autoritățile de aplicare a legii nu pot lua nicio decizie care produce un efect juridic negativ asupra unei persoane exclusiv pe baza rezultatelor unor astfel de sisteme de identificare biometrică la distanță ulterioară.

Prezentul alineat nu aduce atingere dispozițiilor de la articolul 9 din Regulamentul (UE) 2016/679 și de la articolul 10 din Directiva (UE) 2016/680 privind prelucrarea datelor biometrice.

Indiferent de scop sau de implementator, fiecare utilizare a acestor sisteme de IA cu grad ridicat de risc este documentată în dosarul relevant al poliției și este pusă la dispoziția autorității relevante de supraveghere a pieței și a autorității naționale pentru protecția datelor, la cerere, exceptând divulgarea datelor operaționale sensibile legate de aplicarea legii. Prezentul paragraf nu aduce atingere competențelor conferite autorităților de supraveghere de Directiva (UE) 2016/680.

Implementatorii prezintă autorităților relevante de supraveghere a pieței și autorităților naționale pentru protecția datelor rapoarte anuale cu privire la utilizarea sistemelor de identificare biometrică la distanță ulterioară, exceptând divulgarea datelor operaționale sensibile legate de aplicarea legii. Rapoartele pot fi agregate pentru a cuprinde mai multe implementări.

Statele membre pot introduce, în conformitate cu dreptul Uniunii, legi mai restrictive privind utilizarea sistemelor de identificare biometrică la distanță ulterioară.

(11)   Fără a afecta dispozițiile de la articolul 50 din prezentul regulament, implementatorii de sisteme de IA cu grad ridicat de risc menționate în anexa III, care iau decizii sau contribuie la luarea deciziilor referitoare la persoane fizice, informează persoanele fizice că fac obiectul utilizării sistemului de IA cu grad ridicat de risc. În cazul sistemelor de IA cu grad ridicat de risc utilizate în scopul aplicării legii, se aplică articolul 13 din Directiva (UE) 2016/680.

(12)   Implementatorii cooperează cu autoritățile competente relevante pentru orice acțiune întreprinsă de respectivele autorități în legătură cu sistemul de IA cu grad ridicat de risc pentru a pune în aplicare prezentul regulament.