EU:s AI-förordning artikel för artikel

AI‑förordningen (Artificial Intelligence Act, förordning (EU) 2024/1689)

EU‑förordning som reglerar utveckling, tillhandahållande och användning av AI‑system och vissa AI‑modeller inom EU, med riskbaserad ansats och fokus på grundläggande rättigheter, säkerhet och innovation.

Artikel 1 – Syfte

Anger huvudsyftena: skydda grundläggande rättigheter och säkerhet, främja förtroende och innovation, säkerställa den inre marknaden och ställa särskilda krav på högrisk‑AI och grundmodeller.

Artikel 2 – Tillämpningsområde

Definierar vilka aktörer, AI‑system och AI‑modeller som omfattas samt viktiga undantag, t.ex. privat icke‑yrkesmässig användning och viss verksamhet kopplad till nationell säkerhet.

Högrisk‑AI

AI‑system som antingen är säkerhetskomponenter i produkter under produktsäkerhetsregler eller används i särskilt känsliga områden (listade i bilaga III). De omfattas av strikta krav på bl.a. riskhantering, datakvalitet och mänsklig övervakning.

Grundmodell (foundation model)

En kraftfull, allmän AI‑modell som kan användas för många olika ändamål och som andra system byggs på. AI‑förordningen ställer särskilda krav på dessa, särskilt om de är systemiskt viktiga.

Förhållande till GDPR

AI‑förordningen reglerar AI‑systemens utformning och användning; GDPR reglerar behandling av personuppgifter. De gäller parallellt och kompletterar varandra.

AI‑system (artikel 3)

Ett maskinbaserat system som, för mänskligt definierade mål, genererar output (t.ex. förutsägelser, rekommendationer, beslut, innehåll) genom inlärning, logik eller statistiska metoder, och som kan påverka fysiska eller virtuella miljöer.

Leverantör (provider)

En fysisk eller juridisk person som utvecklar ett AI‑system eller en GPAI‑modell eller låter utveckla det, och tillhandahåller det på marknaden eller i drift under eget namn eller varumärke.

Användare (deployer)

En fysisk eller juridisk person, myndighet eller annat organ som använder ett AI‑system i sin egen verksamhet (ej ren privat användning).

Importör

En aktör etablerad i EU som släpper ut ett AI‑system eller en GPAI‑modell från ett tredjeland på EU‑marknaden.

Distributör

En aktör i leveranskedjan, annan än leverantör eller importör, som tillhandahåller ett AI‑system på marknaden.

GPAI‑modell

En allmän AI‑modell som kan användas för många olika ändamål, både allmänna och specialiserade, t.ex. stora språkmodeller eller generativa bildmodeller.

Subliminal påverkan

Påverkan som sker **under medvetandets tröskel**, t.ex. mycket snabba visuella eller auditiva stimuli som hjärnan registrerar men som personen inte är medveten om. I artikel 5 förbjuds AI som använder sådana tekniker för att väsentligt snedvrida beteende och orsaka betydande skada.

Utnyttjande av sårbarheter

När ett AI‑system är designat för att dra nytta av en persons sårbarhet (t.ex. ålder, funktionsnedsättning, social/ekonomisk situation) för att styra beteende på ett sätt som kan orsaka betydande skada. Detta är förbjudet enligt artikel 5.1 b.

Social poängsättning

AI‑baserad klassificering av personer utifrån socialt beteende eller personliga egenskaper som används av offentliga myndigheter för att ge fördelar eller nackdelar i olika sammanhang. Vissa former är uttryckligen förbjudna i artikel 5.1 c.

Biometrisk kategorisering för känsliga egenskaper

När AI använder biometriska data (t.ex. ansikte, röst) för att härleda eller kategorisera människor utifrån känsliga egenskaper som politisk åsikt, religion, sexuell läggning eller etnicitet. Detta är förbjudet enligt artikel 5.1 d.

Fjärrbiometrisk identifiering (RBI)

AI‑baserad identifiering av personer på avstånd via biometriska data (t.ex. ansiktsigenkänning i kameror på en gata). Realtids‑RBI i offentligt tillgängliga utrymmen i brottsbekämpande syfte är som huvudregel förbjudet, med mycket snäva undantag.

Betydande skada

Skada som inte är trivial, t.ex. fysisk eller psykisk skada, betydande ekonomisk förlust eller allvarlig kränkning av rättigheter. Begreppet används i artikel 5 som tröskel för när manipulation/utnyttjande blir förbjudet.

Artikel 6 (översiktligt)

Artikeln som anger **när** ett AI‑system klassas som högrisk: (1) som säkerhetskomponent i produkter som omfattas av viss EU‑sektorslagstiftning, eller (2) när det används i områden som listas i bilaga III.

Bilaga III

En lista över **specifika högrisk‑användningsområden**, t.ex. biometrisk identifiering, kritisk infrastruktur, utbildning, sysselsättning, tillgång till viktiga tjänster, brottsbekämpning och rättsväsendet.

Artikel 7

Ger EU‑kommissionen befogenhet att **uppdatera bilaga III** genom delegerade akter, för att fånga upp nya högrisk‑användningar när tekniken utvecklas.

Högrisk‑AI

AI‑system som, p.g.a. sitt användningsområde eller koppling till reglerade produkter, anses innebära **hög risk för hälsa, säkerhet eller grundläggande rättigheter** och därför omfattas av strikta krav i kapitel III.

Bilaga IV

Bilaga som specificerar vad den **tekniska dokumentationen** för ett högrisk‑AI‑system ska innehålla (t.ex. syfte, arkitektur, data, riskhantering, testresultat).

Koppling till kapitel III

När ett AI‑system klassas som högrisk utlöses krav på bl.a. riskhantering, datakvalitet, loggning, transparens, mänsklig översyn och robusthet – dokumenterat enligt bilaga IV.

Riskhanteringssystem (artikel 8)

Ett dokumenterat, kontinuerligt system för att identifiera, analysera, kontrollera och övervaka risker under hela AI‑systemets livscykel, inklusive uppföljning efter att systemet tagits i bruk.

Datastyrning (artiklarna 9–10)

Processer, roller och regler för hur data samlas in, märks, lagras, uppdateras och dokumenteras, så att datamängderna blir relevanta, representativa, korrekta och lagliga.

Teknisk dokumentation (artikel 11)

Strukturerad dokumentation (enligt bilaga IV) som beskriver systemets syfte, design, data, riskhantering, prestanda, mänsklig översyn och cybersäkerhet, och visar att kraven i AI‑förordningen uppfylls.

Loggning / record‑keeping (artikel 12)

Automatiskt genererade loggar över relevanta händelser och beslut i AI‑systemet som möjliggör spårbarhet, incidentutredning och tillsyn, med hänsyn till dataskyddsregler.

Transparens och användarinformation (artikel 13)

Krav på att användare ska få klar, begriplig och korrekt information om systemets avsedda användning, prestanda, indata, risker och begränsningar innan de använder ett högrisk‑AI‑system.

Mänsklig översyn (artikel 14)

Organisatoriska och tekniska arrangemang som gör att människor effektivt kan förstå, övervaka, ingripa i och vid behov åsidosätta AI‑systemets funktion, för att förebygga eller minska risker.

Leverantör (provider)

Den som släpper ut ett AI‑system på EU‑marknaden eller tar det i bruk under eget namn/varumärke. Har huvudansvar för överensstämmelse, QMS, teknisk dokumentation, CE‑märkning och incidentrapportering.

Användare (deployer)

En fysisk eller juridisk person som använder ett högrisk‑AI‑system i professionellt sammanhang. Ansvarar för korrekt användning enligt instruktioner, mänsklig översyn, datakvalitet och lokal övervakning.

Kvalitetshanteringssystem (QMS) – artikel 17

Ett strukturerat system av policyer, processer och rutiner som säkerställer att högrisk‑AI‑system uppfyller AI‑förordningens krav under hela livscykeln.

Importör – artikel 24

Aktör som för in ett AI‑system från ett land utanför EU till EU‑marknaden. Måste kontrollera CE‑märkning, dokumentation och att leverantören har uppfyllt sina skyldigheter.

Distributör – artikel 25

Aktör som tillhandahåller ett AI‑system på marknaden utan att vara leverantör eller importör. Ska inte sälja vidare system som misstänks bryta mot AI‑förordningen.

Allvarlig incident – artikel 19

En händelse kopplad till ett AI‑system som lett till eller kunnat leda till allvarlig skada på hälsa, säkerhet eller grundläggande rättigheter. Måste rapporteras till myndigheter utan onödigt dröjsmål.

GPAI‑modell (general‑purpose AI model)

En AI‑modell som tränats på breda datamängder och kan utföra en mängd olika uppgifter, och som kan integreras i många olika AI‑system och användningsfall.

GPAI‑modell med systemrisk

En GPAI‑modell vars skala, kapacitet och potentiella påverkan är sådan att felanvändning eller oavsiktliga effekter kan få samhällsomfattande konsekvenser, och som därför omfattas av skärpta krav enligt artiklarna 58–60.

Leverantör av GPAI‑modell

Den aktör som utvecklar eller släpper ut GPAI‑modellen på marknaden eller tar den i bruk under eget namn eller varumärke inom EU.

AI Office

En enhet inom EU‑kommissionen som bl.a. fastställer kriterier för systemrisk, klassificerar GPAI‑modeller med systemrisk och övervakar efterlevnaden av reglerna för dessa modeller.

Upphovsrättsskyldigheter (art. 55)

Krav på att leverantören av en GPAI‑modell respekterar EU:s upphovsrättsregler och offentliggör en meningsfull sammanfattning av de upphovsrättsskyddade verk som använts i träningen.

Förhållande GPAI ↔ högrisk‑AI

GPAI‑reglerna i kapitel IV riktar sig till modellnivån, medan högrisk‑reglerna i kapitel III riktar sig till specifika AI‑system och deras användning. Dokumentation och information från GPAI‑leverantören hjälper nedströms aktörer att uppfylla högrisk‑kraven.

Artikel 52 (AI‑förordningen)

Artikel som innehåller särskilda transparens‑ och informationskrav för vissa AI‑system, bl.a. AI som interagerar med människor, emotionell igenkänning, biometrisk kategorisering och AI‑genererat/manipulerat innehåll (t.ex. deepfakes).

AI‑system som interagerar med människor

System där en fysisk person kommunicerar direkt med AI (t.ex. chattbot, röstassistent). Personen ska informeras om att det är AI, om det inte redan är uppenbart.

Emotionell igenkänning

AI‑funktion som syftar till att identifiera eller förutsäga en persons känslotillstånd (t.ex. glad, arg, stressad) utifrån data som ansiktsuttryck, röst eller kroppsspråk. Kräver tydlig information till den berörda personen.

Biometrisk kategorisering

Användning av biometriska uppgifter (t.ex. ansikte, röst) för att kategorisera personer i grupper (t.ex. ålder, kön). Skiljer sig från biometrisk identifiering. Kräver information till de berörda och kan i vissa fall vara förbjuden eller högrisk.

Deepfake

AI‑genererat eller AI‑manipulerat ljud, bild eller video som får det att se ut som att någon sagt eller gjort något som aldrig hänt. Måste märkas tydligt som AI‑genererat/manipulerat när det annars kan uppfattas som äkta.

Transparenskrav

Krav på att användare och berörda personer ska få tydlig information om att de interagerar med AI, eller att innehåll är AI‑genererat/manipulerat, så att de inte vilseleds.

Konformitetsbedömning (AI‑förordningen, art. 43)

En strukturerad process för att visa att ett AI‑system uppfyller alla tillämpliga krav i AI‑förordningen innan det släpps ut på marknaden eller tas i bruk. Kan göras via intern kontroll eller med hjälp av anmält organ.

Anmält organ (Notified Body)

Oberoende tredjepartsorganisation som utses av en medlemsstat och anmäls till EU‑kommissionen för att utföra bedömning av överensstämmelse för vissa produkter, inklusive vissa högrisk‑AI‑system.

EU‑försäkran om överensstämmelse

Ett skriftligt intyg från leverantören enligt art. 47 där denne formellt försäkrar att AI‑systemet uppfyller AI‑förordningens krav. Krävs innan CE‑märkning.

CE‑märkning i AI‑sammanhang

En märkning som visar att produkten uppfyller alla relevanta EU‑krav, inklusive AI‑förordningen. Får sättas på ett högrisk‑AI‑system först efter genomförd konformitetsbedömning och EU‑försäkran.

AI Office (art. 64)

En enhet inom EU‑kommissionen som fungerar som nav för genomförande och tillsyn av AI‑förordningen på EU‑nivå, särskilt för generella AI‑modeller och frågor med systemrisk.

European Artificial Intelligence Board

Ett EU‑omfattande organ bestående av representanter för nationella tillsynsmyndigheter och kommissionen. Främjar enhetlig tillämpning av AI‑förordningen genom riktlinjer, rekommendationer och samordning.

Marknadskontrollmyndighet

Nationell myndighet som övervakar att AI‑system på marknaden uppfyller AI‑förordningens krav och kan kräva information, göra inspektioner och besluta om korrigerande åtgärder.

Hög­risk‑AI‑system

AI‑system som omfattas av särskilt stränga krav enligt AI‑förordningen (bl.a. riskhantering, data‑governance, dokumentation, mänsklig översyn) och som är centrala i marknadskontroll och sanktionsregler.

Klagomål (art. 76)

Möjlighet för personer som påverkas av ett AI‑system att vända sig till behörig myndighet för att rapportera misstänkta överträdelser eller problem.

Visselblåsare (art. 79)

Person inom en organisation som rapporterar överträdelser eller risker kopplade till AI‑förordningen och som ska skyddas mot repressalier.

Sanktionsavgift

Administrativ böter/avgift som kan beslutas vid överträdelser av AI‑förordningen. Nivån ska vara effektiv, proportionerlig och avskräckande, med olika maxnivåer beroende på överträdelsens allvar.

Korrigerande åtgärder

Åtgärder som myndigheter kan kräva av leverantörer eller användare, t.ex. uppdatering av system, begränsning av användning eller återkallelse från marknaden.

Ändringsartiklar (art. 108–110)

Artiklar i AI‑förordningen som ändrar andra EU‑förordningar och direktiv för att harmonisera begrepp, ansvar och krav med AI‑regelverket.

Övergångsbestämmelser (art. 111)

Regler som anger hur AI‑förordningen ska tillämpas på AI‑system och GPAI‑modeller som redan finns på marknaden, inklusive tidsfrister för anpassning och krav på att upphöra med förbjudna praktiker.

Utvärdering och översyn (art. 112)

Bestämmelser om att EU‑kommissionen regelbundet ska utvärdera hur AI‑förordningen fungerar och vid behov föreslå ändringar till Europaparlamentet och rådet.

Ikraftträdande vs. tillämpning (art. 113)

Ikraftträdande: när förordningen formellt börjar gälla som rättsakt (2024). Tillämpning: när de olika materiella kraven faktiskt börjar gälla i praktiken, stegvis över ca 6–36 månader.

Compliance‑roadmap

En tidsatt intern plan som visar när och hur en organisation ska uppfylla olika krav i AI‑förordningen, med hänsyn till successiv tillämpning och övergångsbestämmelser.

Leverantör (provider)

En fysisk eller juridisk person, offentlig myndighet, byrå eller annat organ som utvecklar ett AI‑system eller låter utveckla det och släpper ut det på marknaden eller tar det i bruk under eget namn eller varumärke.

Användare (deployer/user)

En fysisk eller juridisk person, offentlig myndighet, byrå eller annat organ som använder ett AI‑system i sin verksamhet, utom när användningen sker i rent privat, icke‑yrkesmässigt syfte.

Importör

En fysisk eller juridisk person som är etablerad i EU och släpper ut ett AI‑system från ett tredjeland på EU‑marknaden.

Distributör

En fysisk eller juridisk person i leveranskedjan, annan än leverantör eller importör, som tillhandahåller ett AI‑system på marknaden.