Lagförslag 15/2025-2026
|
|
| ||
|
| LAGFÖRSLAG nr 15/2025-2026 | ||
|
| Datum |
| |
|
| 2026-04-09 |
| |
|
|
|
| |
|
|
|
| |
|
|
|
| |
|
| Till Ålands lagting |
| |
|
| |||
|
| |||
|
| |||
|
| |||
Landskapslag om tillsyn över artificiell intelligens
Huvudsakligt innehåll
Landskapsregeringen föreslår att lagtinget antar en landskapslag om tillsyn över artificiell intelligens.
Syftet med lagförslaget är att inom landskapet utfärda genomförandebestämmelser vilka kompletterar Europaparlamentets och rådets förordning (EU) 2024/1689 om harmoniserade regler för artificiell intelligens och om ändring av förordningarna (EG) nr 300/2008, (EU) nr 167/2013, (EU) nr 168/2013, (EU) 2018/858, (EU) 2018/1139 och (EU) 2019/2144 samt direktiven 2014/90/EU, (EU) 2016/797 och (EU) 2020/1828 (förordning om artificiell intelligens, även benämnd AI-förordningen). Lagförslaget utgör fas I av det åländska genomförandet av AI-förordningen.
Avsikten är att den föreslagna landskapslagen ska träda i kraft så snart det är möjligt.
INNEHÅLL
2.2 Marknadskontrollförordningen
3. Landskapsregeringens förslag och syften
4.2 Närmare om lagstiftningsbehörigheten i vissa särskilda fall
4.3 Lagförslagets förhållande till den särskilda förvaltningsbehörig-heten i vissa ärenden
5.3 Verkningar för myndigheterna
5.4 Övriga samhälleliga verkningar
1. Landskapslag om tillsyn över artificiell intelligens
2. Landskapslag om ändring av 1 och 4 §§ landskapslagen om marknadskontrollen av vissa produkter
L A N D S K A P S L A G om tillsyn över artificiell intelligens
Allmän motivering
1. Inledning
Enligt regeringen Sjögrens regeringsprogram, Ett tryggt, öppet och framtidssäkrat Åland, M1/2023-2024, syftar landskapsregeringens digitaliseringspolitik till verksamhetsutveckling med medborgaren i centrum. Landskapsregeringen uppmuntrar till användning av tekniska hjälpmedel och artificiell intelligens (AI) som stöd för förvaltningen, i syfte att åstadkomma en kvalitetshöjning och effektivisering.
Enligt landskapsregeringens meddelande till lagtinget, Meddelande om målsättningar och riktlinjer för digitaliseringen för Ålands landskapsregering, M 5/2023-2024, syftar landskapsregeringens målsättningar till att förenkla medborgarnas vardag, introducera moderna arbetssätt, säkerställa effektivitet och rättvis behandling samt tillhandahålla offentliga tjänster dygnet runt. Detta innefattar att öka transparensen och servicegraden genom smart användning av data, stärka medborgardeltagandet, minska digitala klyftor, främja innovation, kompetensutveckling, samarbete och använda befintliga data effektivt för att undvika onödigt arbete. Implementationen av automatisering, speciellt i samband med avancerade teknologier som AI, innebär potentialen att markant minska den tid som krävs för manuella och rutinmässiga uppgifter, vilket inte enbart leder till förbättrad effektivitet utan även till kostnadsbesparingar, eftersom mindre tid och resurser behövs för dessa arbetsprocesser. Med ett starkt fokus på att integrera automatisering i den dagliga verksamheten, är ambitionen att utveckla en offentlig förvaltning som är mer dynamisk, responsiv och inriktad på brukarens behov.
AI har under de senaste decennierna utvecklats från att vara en futuristisk vision till att påverka våra liv i allt högre utsträckning. Den teknologiska utvecklingen under de senaste åren har lett till en exponentiell ökning av antalet AI-applikationer inom en rad olika sektorer, exempelvis hälso- och sjukvård, utbildning, finans och transport. AI har potential att medföra en betydande ekonomisk tillväxt och kan bidra till ökad produktivitet, innovation och skapandet av nya marknader och jobb.
Det ökade beroendet av AI i samhället kan dock innebära flera risker. AI kan inkräkta på vår integritet och öka olovlig användning av vår data, utgöra ett hot mot demokratin genom ökad spridning av desinformation samt snedvrida konkurrensen när de aktörer som har mest insamlad data får tydliga konkurrensfördelar. Dessutom kan användningen av AI utgöra en säkerhetsrisk om den är felkonstruerad, medvetet missbrukas eller hackas.
I april 2018 presenterade kommissionen en europeisk AI-strategi genom sitt meddelande Artificiell intelligens för Europa, COM(2018) 237 final. I dokumentet beskrivs unionens visioner för AI och de åtgärder som kommissionen ansåg nödvändiga för att uppnå denna vision. Enligt meddelandets slutsatser har EU en stark vetenskaplig och industriell bas att bygga på, med ledande forskningslaboratorier och universitet, erkänt ledarskap inom robotteknik och innovativa nystartsföretag. EU har vidare en omfattande rättslig ram som skyddar konsumenterna samtidigt som innovation främjas och framsteg görs när det gäller att skapa en digital inre marknad. De huvudsakliga beståndsdelarna finns på plats för att EU ska bli ledande inom AI-revolutionen, på sitt eget sätt och på grundval av sina värderingar. Förhållningssättet till AI som beskrivs i strategin visar enligt slutsatserna vägen framåt och den framhäver behovet av att samverka på europeisk nivå för att se till att alla européer ingår i den digitala omvandlingen, att tillräckliga resurser avsätts till AI och att unionens värderingar och grundläggande rättigheter ligger i framkant av AI-landskapet. Enligt strategin kan EU tillsammans göra så att kraften i AI används för att tjäna den mänskliga utvecklingen.
Samtidigt som kommissionens AI-strategi presenterades ingicks en Samordnad Plan om artificiell intelligens mellan kommissionen, unionens medlemsländer, Norge och Schweiz, COM(2018) 795 final. Syftet med planen var bland annat att främja investeringar samt implementera strategier och program för AI.
I februari 2020 publicerade kommissionen sin Vitbok om artificiell intelligens, COM(2020) 65 final. I vitboken föreslår kommissionen en ram för att främja utvecklingen av AI och användningen av AI-system i Europa, samtidigt som risker hanteras och AI-systemens säkerhet och pålitlighet säkerställs. I vitboken konstateras också att ett framtida regelverk för AI inom Europa kommer att skapa ett unikt ekosystem av förtroende vad gäller användningen av AI.
I april 2021 presenterade kommissionen AI-innovationspaketet, vilket förutom en revidering av den samordnade planen från 2018, innehöll kommissionens förslag till förordning om harmoniserade regler för AI.
Europaparlamentets och rådets antog den 13 juni 2024 Europaparlamentets och rådets förordning (EU) 2024/1689 om harmoniserade regler för artificiell intelligens och om ändring av förordningarna (EG) nr 300/2008, (EU) nr 167/2013, (EU) nr 168/2013, (EU) 2018/858, (EU) 2018/1139 och (EU) 2019/2144 samt direktiven 2014/90/EU, (EU) 2016/797 och (EU) 2020/1828 (förordning om artificiell intelligens, hädanefter benämnd AI-förordningen). AI-förordningen trädde i kraft den 1 augusti 2024 och ska med vissa undantag tillämpas fullt ut från och med den 2 augusti 2026.
AI-förordningens syfte är att förbättra den inre marknadens funktion och främja användningen av människocentrerad och tillförlitlig AI, samtidigt som en hög skyddsnivå säkerställs för hälsa, säkerhet och grundläggande rättigheter som fastställs i stadgan, inbegripet demokrati, rättsstatens principer och miljöskydd, mot de skadliga effekterna av AI-system i unionen, och att stödja innovation.
AI-förordningen fastställer harmoniserade regler för utsläppande på marknaden, ibruktagande och användning av AI-system i unionen, förbud mot vissa AI-användningsområden, särskilda krav för AI-system med hög risk och skyldigheter för operatörer av sådana system, harmoniserade transparensregler för vissa AI-system, harmoniserade regler för utsläppande på marknaden av AI-modeller för allmänna ändamål, regler om marknadsövervakning, marknadskontroll, styrning och kontroll av efterlevnad samt åtgärder till stöd för innovation med särskild inriktning på små och medelstora företag, inbegripet uppstartsföretag. De harmoniserade regler som fastställs genom AI-förordningen kommer att vara tillämpliga i alla sektorer och påverkar inte befintlig unionsrätten inom dataskydd, konsumentskydd, grundläggande rättigheter, sysselsättning, skydd för arbetstagare och produktsäkerhet.
AI-förordningen ålägger vidare unionens medlemsstater att utse behöriga myndigheter, inbegripande gemensamma kontaktpunkter, anmälande myndigheter och marknadskontrollmyndigheter, att upprätta regulatoriska sandlådor för AI, möjliggöra testning under verkliga förhållanden och fastställa bestämmelser om sanktioner och andra tillsyns- och efterlevnadskontrollåtgärder.
Den 7 mars 2025 antog kommissionen en genomförandeförordning, Kommissionens genomförandeförordning (EU) 2025/454 om tillämpningsföreskrifter för Europaparlamentets och rådets förordning (EU) 2024/1689 (AI-förordningen) vad gäller inrättande av en vetenskaplig panel av oberoende experter på området artificiell intelligens.
Kommissionen har vidare ett pågående arbete med att ta fram en genomförandeförordning om tillämpningsföreskrifter för Europaparlamentets och rådets förordning (EU) 2024/1689 (AI-förordningen) vad gäller inrättandet, utvecklingen, genomförandet, driften och övervakandet av regulatoriska sandlådor för AI, vilket förväntas antas under våren 2026.
Den 19 november 2025 lade kommissionen fram ett förslag till en förordning vilken bland annat ändrar AI-förordningen, Digitala samlingsförordningen om AI (på engelska Digital Omnibus on AI Regulation Proposal), COM(2025) 836 final. I förslaget ingår förenklingar av AI-förordningen och det föreslås att ikraftträdandedatumet för vissa skyldigheter skjuts på framtiden. Kommissionens mål är att den nya samlingsförordningen ska hinna träda i kraft innan slutet av år 2026.
Landskapsregeringen föreslår mot bakgrund av detta att bestämmelser vilka kompletterar AI-förordningen utfärdas genom att lagtinget antar en ny lag om tillsyn över artificiell intelligens, jämte därmed sammanhängande följdändringar i marknadskontrollagen, så snart det är möjligt.
2. Nuläge
2.1 AI-förordningen
2.1.1 Syfte och tillämpningsområde
2.1.1.1 Syfte
Enligt artikel 1 i AI-förordningen är syftet med AI-förordningen att förbättra den inre marknadens funktion och att främja användningen av människocentrerad och tillförlitlig AI. Syftet är också att säkerställa en hög skyddsnivå för hälsa, säkerhet och grundläggande rättigheter som fastställs i stadgan, mot de skadliga effekterna av användning av AI-system i unionen, och att stödja innovation.
Enligt skäl 1 i AI-förordningen säkerställs genom förordningen samtidigt fri rörlighet över gränserna inom unionen för AI-baserade varor och tjänster och förhindras att medlemsstaterna inför begränsningar av utvecklingen, försäljningen och användningen av AI-system på den inre marknaden.
I skäl 3 till AI-förordningen uttrycks att AI-system enkelt kan utnyttjas inom ett stort antal olika ekonomiska sektorer och i många delar av samhället. Olika nationella regelverk inom unionen riskerar att leda till fragmentisering av den inre marknaden och minska rättssäkerheten vad gäller utveckling och användning av AI-system. En enhetlig och hög skyddsnivå inom hela unionen har därför ansetts vara nödvändig för att säkerställa tillförlitlig användning av AI.
Enligt skäl 4 till AI-förordningen är AI också en teknik under snabb utveckling, vilket bidrar till en mängd ekonomiska, miljömässiga och samhälleliga vinster för näringslivet och samhället i stort. Enligt skäl 5 till förordningen kan användningen av AI samtidigt ge upphov till vissa risker och skada allmänna intressen samt grundläggande rättigheter. Dessa skador kan vara fysiska, psykologiska, samhälleliga och ekonomiska. Enligt skäl 8 till förordningen främjar enhetliga regler inom unionen både utvecklingen, användningen och spridningen av AI på den inre marknaden, samtidigt som det ger en hög skyddsnivå för allmänintressen, såsom hälsa, säkerhet och skydd av grundläggande rättigheter.
2.1.1.2 Tillämpningsområdet
Av artikel 2.1 i AI-förordningen framgår att AI-förordningen är tillämplig på följande kategorier av aktörer.
- Leverantörer som släpper ut eller tar i bruk AI-system eller AI-modeller för allmänna ändamål på marknaden i unionen. Enligt definitionen i artikel 3.3 i AI-förordningen ska med leverantör förstås en fysisk eller juridisk person, en offentlig myndighet, en byrå eller ett annat organ som utvecklar ett AI-system eller en AI-modell för allmänna ändamål. Med leverantör förstås också den vilken har ett AI-system eller en AI-modell för allmänna ändamål och släpper ut det på marknaden eller tar systemet i bruk i eget namn eller under eget varumärke.
- Tillhandahållare av AI-system som har sin etableringsort eller befinner sig i unionen. Enligt artikel 3.4 i AI-förordningen ska med tillhandahållare förstås en fysisk eller juridisk person, offentlig myndighet, en byrå eller annat organ som under eget överinseende använder ett AI-system. Enligt artikel 2.10 undantas tillhandahållare som är fysiska personer när AI-systemet används för personlig icke-yrkesmässig verksamhet.
- Leverantörer och tillhandahållare av AI-system med etableringsort eller som befinner sig i ett tredjeland, om utdata som produceras av AI-systemet används i unionen.
- Importörer och distributörer av AI-system. Enligt definitionen i artikel 3.6 i AI-förordningen ska med importör förstås en fysisk eller juridisk person som befinner sig eller är etablerad i unionen och som släpper ut ett AI-system på marknaden, som bär namnet på eller varumärket för en fysisk eller juridisk person som är etablerad i ett tredjeland. Enligt definitionen i artikel 3.7 ska med distributör förstås en annan fysisk eller juridisk person i leveranskedjan än leverantören eller importören, som tillhandahåller ett AI-system inom unionen.
- Produkttillverkare vilka på marknaden släpper ut eller tar i bruk ett AI-system med sin produkt i eget namn eller under eget varumärke.
- Ombud för leverantörer som inte är etablerade i unionen. Enligt definitionen i artikel 3.5 i AI-förordningen ska med ombud förstås en fysisk eller juridisk person som är etablerad eller befinner sig i unionen och som har fått och godtagit en skriftlig fullmakt från en leverantör av ett AI-system eller en AI-modell för allmänna ändamål, för att för dennes räkning fullgöra de skyldigheter och förfaranden som framgår av AI-förordningen.
- Andra berörda personer som befinner sig i unionen.
Enligt skäl 25 till AI-förordningen syftar den bland annat till att stödja innovation och respektera forskningens frihet. Det har ansetts nödvändigt att från AI-förordningens tillämpningsområde undanta AI-system och AI-modeller, inbegripet deras utdata, som specifikt utvecklas och tas i bruk enbart i vetenskapligt forsknings- och utvecklingsarbete, vilket görs i artikel 2.6. Från tillämpningsområdet har också genom artikel 2.3 undantagits AI-system som släpps ut på marknaden eller tas i bruk, inbegripet systemens utdata, uteslutande för militära ändamål, försvarsändamål eller ändamål som rör nationell säkerhet.
Enligt artiklarna 2.5, 2.7 och 2.9 påverkar AI-förordningen inte heller tillämpningen av bestämmelserna om ansvar för leverantörer av förmedlingstjänster i kapitel II i Europaparlamentets och rådets förordning (EU) 2022/2065 om en inre marknad för digitala tjänster och om ändring av direktiv 2000/31/EG (förordningen om digitala tjänster), Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) och annan unionsrätt vad gäller skyddet av personuppgifter eller unionsrättsakter inom konsumentskydd och produktsäkerhet.
2.1.2 Definitioner
2.1.2.1 AI-system
I artikel 3.1 i AI-förordningen definieras AI-system som ett maskinbaserat system som är utformat för att fungera med varierande grad av autonomi och som kan uppvisa anpassningsförmåga efter införande och som, för uttryckliga eller underförstådda mål, drar slutsatser härledda från den indata det tar emot, om hur utdata såsom förutsägelser, innehåll, rekommendationer eller beslut som kan påverka fysiska eller virtuella miljöer ska genereras.
I skäl 12 till AI-förordningen beskrivs att med varierande grad av autonomi förstås att systemet är oberoende av mänsklig kontroll i viss mån och har förmåga att fungera utan mänskligt ingripande. Begreppet anpassningsförmåga avser AI-systemets förmåga till självlärande, vilket gör det möjligt för systemet att förändras under sin användning.
Definitionen av AI-system omfattar både fristående system och system som används som komponent i en produkt, oavsett om systemet är fysiskt integrerat i produkten, dvs. inbyggt eller tjänar produktens funktioner utan att vara integrerat i produkten, det vill säga icke-inbyggt. Kommissionen har den 6 februari 2025 publicerat riktlinjer[1] om definitionen av AI-system enligt AI-förordningen.
2.1.2.2 AI-modell för allmänna ändamål
I artikel 3.63 i AI-förordningen definieras AI-modell för allmänna ändamål som en AI-modell, även när en sådan AI-modell tränas med en stor mängd data med hjälp av självövervakning i stor skala, som uppvisar betydande generalitet och på ett kompetent sätt kan utföra ett brett spektrum av distinkta uppgifter oavsett hur modellen släppts ut på marknaden, och som kan integreras i en rad system eller tillämpningar i efterföljande led, utom AI-modeller som används för forsknings-, utvecklings- eller prototypverksamhet innan de släpps ut på marknaden.
I skälen 98 och 99 till AI-förordningen anges att en AI-modells generalitet kan bestämmas utifrån ett antal parametrar. Modeller med minst en miljard parametrar som har tränats med en stor mängd data genom självövervakning i stor skala anses uppvisa betydande generalitet. Stora generativa AI-modeller betraktas därför som ett typiskt exempel på en AI-modell för allmänna ändamål, eftersom de kan generera innehåll i form av text, ljud, bilder och video.
Kommissionen har den 18 juli 2025 publicerat riktlinjer[2] om skyldigheterna för leverantörer av AI-modeller för allmänna ändamål. I dessa riktlinjer beskriver kommissionen hur definitionen av AI-modell för allmänna ändamål bör förstås.
Enligt skäl 97 och 100 till AI-förordningen är AI-modeller vanligtvis integrerade i och utgör väsentliga komponenter i AI-system. AI-modeller kräver dock tillägg av ytterligare komponenter, exempelvis ett användargränssnitt, för att bli ett AI-system. När en AI-modell för allmänna ändamål integreras i eller ingår i ett AI-system är det att betrakta som ett AI-system för allmänna ändamål när systemet, på grund av denna integrering, har förmåga att tjäna en rad olika ändamål. Ett AI-system för allmänna ändamål kan i sin tur användas direkt eller integreras i andra AI-system.
2.1.2.3 AI-system för allmänna ändamål
I artikel 3.66 i AI-förordningen definieras AI-system för allmänna ändamål som ett AI-system som bygger på en AI-modell för allmänna ändamål och som har kapacitet att tjäna en rad olika ändamål, både för direkt användning och för integrering i andra AI-system.
2.1.3 Riskbaserade kravnivåer
2.1.3.1 Riskbaserad metod
Enligt skäl 26 i AI-förordningen bygger AI-förordningen på en riskbaserad metod där AI-system delas in i olika risknivåer. Metoden innebär att reglernas art och innehåll anpassas efter omfattningen av de risker som AI-systemen kan innebära.
2.1.3.2 Förbjudna AI-användningsområden
I skäl 28 och 29 i AI-förordningen motiveras att vissa AI-användningsområden förbjuds, för att de är särskilt skadliga och kränkande, eftersom de strider mot unionens värden och respekten för människans värdighet, frihet, jämlikhet, demokrati och rättsstatens principer samt grundläggande rättigheter som fastställs i stadgan, inbegripet rätten till icke-diskriminering, dataskydd och personlig integritet samt barnets rättigheter. Generellt avser förbudet användning av AI-system med målet eller följden att det mänskliga beteendet väsentligt påverkas och som sannolikt kan medföra betydande skador. Det kan handla om användningen av AI för att undergräva och försämra människors autonomi, beslutsfattande och fria val, men även rätten till icke-diskriminering, dataskydd och personlig integritet. Denna typ av AI-system anses kunna medföra betydande negativa konsekvenser för den fysiska eller psykiska hälsan eller ekonomiska intressen och anses därför som farliga.
I artikel 5 i AI-förordningen preciseras mot denna bakgrund att följande användningsområden för AI förbjuds:
- Subliminala, manipulerande eller vilseledande tekniker i artikel 5.1 led a: Förbud gäller för AI-system som utnyttjar subliminala tekniker som människor inte är medvetna om, eller avsiktligt manipulerande eller vilseledande tekniker som syftar eller leder till en väsentlig snedvridning av en persons eller en grupp av personers beteende genom att avsevärt försämra deras förmåga att fatta ett välgrundat beslut, vilket kan orsaka betydande skada. I skäl 29 anges att subliminala tekniker avser ljud-, bild- och videostimuli som människor inte kan uppfatta eftersom de ligger utanför människans uppfattningsförmåga.
- Utnyttjande av sårbarheter hos fysiska personer i artikel 5.1 led b: Förbud gäller också för AI-system som utnyttjar en sårbarhet hos en fysisk person eller en specifik grupp av personer som härrör från ålder, funktionsnedsättning eller en specifik social eller ekonomisk situation, med målet eller verkan att väsentligen påverka beteendet hos den personen eller en person som tillhör gruppen, på ett sätt som kan orsaka betydande skada.
- Social poängsättning i artikel 5.1 led c: Förbud gäller för AI-system för utvärdering eller klassificering av fysiska personer eller grupper av personer under en viss tidsperiod på grundval av deras sociala beteende eller kända, uttydda eller förutsedda personliga eller personlighetsrelaterade egenskaper, med en social poängsättning. Förbudet förutsätter också att användningen leder till skadlig eller ogynnsam behandling som antingen saknar koppling till det sammanhang i vilken berörda data ursprungligen genererades eller samlades in eller som är omotiverad eller oproportionerlig i förhållande till personernas sociala beteende eller hur allvarligt beteendet är.
- Profilering, i artikel 5.1 led d: AI-förordningen anger att fysiska personer i enlighet med oskuldspresumtionen bör bedömas utifrån sitt faktiska beteende. Enligt skäl 42 bör därför aldrig fysiska personer bedömas utifrån ett AI-system som förutser beteende grundat på profilering, personlighetsdrag och andra egenskaper som nationalitet, födelseort, bostadsort med mera, utan rimlig misstanke om att personen är inblandad i brottslig verksamhet baserat på objektiva och kontrollerbara fakta. Därmed förbjuds AI-system för riskbedömningar av fysiska personer i syfte att bedöma eller förutse sannolikheten för att en fysisk person begår ett brott, uteslutande grundat på profileringen av en fysisk person eller på en bedömning av deras personlighetsdrag och egenskaper. Förbudet är dock inte tillämpligt på AI-system som används för att stödja mänsklig bedömning av en persons inblandning i brottslig verksamhet, som redan är grundad på objektiva och verifierbara fakta med direkt anknytning till brottslig verksamhet.
- Databaser för ansiktsigenkänning, i artikel 5.1 led e: Förbud gäller för AI-system som skapar eller utvidgar databaser för ansiktsigen-känning genom oriktad skrapning av ansiktsbilder från internet eller övervakningskameror. I skäl 43 anges att metoden med oriktad skrapning anses öka känslan av att det förekommer massövervakning och kan resultera i grova kränkningar av grundläggande rättigheter, bland annat rätten till integritet.
- Uttyda en fysisk persons känslor på arbetsplatsen eller vid utbildningsinstitutioner, i artikel 5.1 led f: I AI-förordningen förbjuds användning av AI-system för att uttyda en fysisk persons känslor på arbetsplatsen eller vid utbildningsinstitutioner, såvida inte AI-systemets användning är avsett att införas eller släppas ut på marknaden av medicinska skäl eller säkerhetsskäl. I skäl 44 anges att AI-system som identifierar eller uttyder fysiska personers känslor eller avsikter utifrån biometriska uppgifter kan leda till resultat som är diskriminerande och inkräkta på personernas rättigheter och friheter. Eftersom det anses föreligga en maktobalans vad gäller arbete och utbildning, i kombination med dessa systems inkräktande karaktär, kan systemen leda till skadlig och ogynnsam behandling av vissa fysiska personer eller grupper av fysiska personer.
- Biometrisk kategorisering av fysiska personer, i artikel 5.1 led g: AI-system för biometrisk kategorisering som kategoriserar fysiska personer individuellt på grundval av deras biometriska uppgifter för att härleda eller dra slutsatser om en persons ras, politiska åsikter, medlemskap i fackförening, religiösa eller filosofiska övertygelse, sexualliv eller sexuella läggning. I artikel 3.40 definieras system för biometrisk kategorisering definieras som AI-system för hänförande av fysiska personer till särskilda kategorier baserat på deras biometriska uppgifter, om det inte utgör en extrafunktion till en annan kommersiell tjänst och är strikt nödvändigt av objektiva tekniska skäl. I skäl 16 anges att begreppet biometrisk kategorisering bör definieras som att fysiska personer hänförs till särskilda kategorier på grundval av deras biometriska uppgifter.
- Biometrisk fjärridentifiering i realtid, i artikel 5.1 led h: I skäl 32 anges att användning av system för biometrisk fjärridentifiering i realtid av fysiska personer på allmänt tillgängliga platser för brottsbekämpande ändamål anses inkräkta på berörda personers rättigheter och friheter. Användningen kan påverka privatlivet och riskerar att skapa en känsla av konstant övervakning och kan således indirekt avskräcka från utövande av mötesfrihet och andra grundläggande rättigheter. Förbud gäller därför för AI-system för biometrisk fjärridentifiering i realtid på allmänt tillgängliga platser för brottsbekämpande ändamål. System för biometrisk fjärridentifiering definieras i artikel 3.41 som AI-system vars syfte är att identifiera fysiska personer utan deras aktiva medverkan, genom att jämföra en persons biometriska uppgifter med biometriska uppgifter i en referensdatabas. Artikel 5 lämnar dock utrymme för medlemsstaterna att i nationell rätt lagstifta om att det för vissa syften och under vissa förutsättningar är tillåtet att göra undantag från förbudet. Användning av AI-system för biometrisk fjärridentifiering i realtid får endast ske om det är absolut nödvändigt och för något av de i artikeln särskilt angivna syftena. För att användningen ska vara tillåten krävs också att den som utgångspunkt föregås av en tillståndsprövning.
Kommissionen har den 4 februari 2025 publicerat riktlinjer för tolkningen av de förbjudna AI-användningsområdena i artikel 5 (Kommissionens riktlinjer om de förbjudna användningsområden för artificiell intelligens som fastställs i förordning (EU) 2024/1689 (AI-förordningen), Bryssel den 29 juli 2025, C(2025) 5052 final).
2.1.3.3 AI-system med hög risk
Klassificeringsregler för AI-system med hög risk
Av artikel 6.1 i AI-förordningen följer att AI-system som utgör säkerhetskomponenter i produkter eller system eller som i sig själva utgör produkter eller system, vilka omfattas av EU:s produktsäkerhetslagstiftning enligt bilaga I, klassificeras som AI-system med hög risk. Detta förutsatt att den berörda produkten omfattas av krav på att genomgå en bedömning av överensstämmelse av tredje part för att produkten ska få släppas ut på marknaden. Den typ av produkter som omfattas inkluderar bland annat maskiner, leksaker, hissar och säkerhetskomponenter till hissar, radioutrustning, motorfordon, två- och trehjuliga fordon, jordbruks- och skogsbruksfordon och medicintekniska produkter.
Det följer också av artikel 6.1 att AI-system som används inom vissa specifika områden enligt bilaga III till förordningen klassificeras som AI-system med hög risk. Områdena som framgår av bilaga III till AI-förordningen är följande:
- System för biometrisk fjärridentifiering, AI-system för biometrisk kategorisering och AI-system för känsloigenkänning.
- Kritisk infrastruktur.
- Utbildning och yrkesutbildning.
- Anställning, arbetsledning och tillgång till egenföretagande.
- Tillgång till och åtnjutande av väsentliga privata tjänster och väsentliga offentliga tjänster och förmåner.
- Brottsbekämpning, i den mån användningen är tillåten enligt relevant unionsrätt eller nationell rätt.
- Migration, asyl och gränskontrollförvaltning, i den mån användningen är tillåten enligt relevant unionsrätt eller nationell rätt.
- Rättskipning och demokratiska processer.
Områdena innefattar även ytterligare definierade områden som framgår av underpunkter.
Krav på AI-system med hög risk
I skäl 64 i AI-förordningen anges att i syfte att begränsa riskerna med AI-system med hög risk som släpps ut på marknaden eller tas i bruk, och för att säkerställa hög tillförlitlighet, gäller vissa obligatoriska krav för AI-system med hög risk i AI-förordningen, med beaktande av AI-systemets avsedda ändamål och det sammanhang i vilket det används. De åtgärder som kommer att behöva antas av leverantörerna för att uppfylla de obligatoriska kraven bör ta hänsyn till den allmänt erkända senaste utvecklingen när det gäller AI och vara proportionella samt effektiva för att uppnå målen i AI-förordningen.
AI-system med hög risk omfattas av obligatoriska krav vilka regleras i artiklarna 8–15 i AI-förordningen. Dessa krav avser själva AI-systemet, särskilt vad gäller utvecklingen och utformningen av dessa system. De obligatoriska kraven ska skiljas från de skyldigheter som gäller särskilt för leverantörer, tillhandahållare, importörer respektive distributörer av AI-system med hög risk. Bestämmelserna innehåller sammanfattningsvis följande:
- Allmänna skyldigheter, i artikel 8: AI-system med hög risk ska uppfylla kraven enligt artiklarna 8–15.
- Riskhanteringssystem, i artikel 9: För AI-system med hög risk ska det finnas ett system för riskbedömning och riskreducering. Det finns också krav på regelbunden och systematisk övervakning och uppdatering.
- Data och dataförvaltning, i artikel 10: AI-system som använder teknik som inbegriper träning av så kallade AI-modeller med data ska utvecklas på grundval av tränings-, validerings- och testdataset som uppfyller vissa uppställda kvalitetskriterier.
- Teknisk dokumentation, i artikel 11: Det ska finnas teknisk dokumentation för ett AI-system med hög risk, vilken ska upprättas innan systemet har släppts ut på marknaden eller tas i bruk. Den tekniska dokumentationen ska upprättas på ett sådant sätt att det framgår att AI-systemet med hög risk är förenligt med de obligatoriska kraven.
- Loggning, i artikel 12: AI-system med hög risk ska tekniskt möjliggöra automatisk registrering av händelser, det vill säga loggar, under hela systemets livstid.
- Transparens och tillhandahållande av information, i artikel 13: Transparenskrav gäller för AI-system med hög risk. Detta innebär att systemen måste vara utformade och utvecklade på ett sätt som säkerställer att deras funktioner och syften är transparenta för tillhandahållare.
- Mänsklig kontroll, i artikel 14: AI-system med hög risk behöver utformas och utvecklas på ett sätt som möjliggör effektiv mänsklig övervakning.
- Riktighet, robusthet och cybersäkerhet, i artikel 15: AI-system ska vara säkra och pålitliga. Det ställs därför krav på att AI-system med hög risk utformas och utvecklas på ett sådant sätt att de uppnår en lämplig nivå avseende riktighet, robusthet och cybersäkerhet.
Undantag för vissa AI-system
Av artikel 6.3 i AI-förordningen följer att AI-system vilka faller inom något av de områden som anges i bilaga III till AI-förordningen inte ska betraktas som AI-system med hög risk om det inte utgör en betydande risk för skada på fysiska personers hälsa, säkerhet eller grundläggande rättigheter, inbegripet att det inte materiellt påverkar resultatet av beslutsfattande. Detta undantag ska vara tillämpligt om något av följande villkor som anges i artikel 6.3 andra stycket är uppfyllt.
- AI-systemet är avsett att utföra en snäv processuell uppgift,
- AI-systemet är avsett att förbättra resultatet av tidigare slutförd mänsklig verksamhet,
- AI-systemet är avsett att upptäcka beslutsmönster eller avvikelser från tidigare beslutsmönster och är inte avsett att ersätta eller påverka tidigare slutförd mänsklig bedömning, utan ordentlig mänsklig granskning, eller
- AI-systemet är avsett att utföra en förberedande uppgift för en bedömning som är relevant för de användningsfall som förtecknas i bilaga III.
De AI-system som avses i bilaga III till AI-förordningen ska enligt artikel 6.3 tredje stycket dock alltid anses vara AI-system med hög risk om det utför profilering av fysiska personer.
Om ett AI-system som avses i bilaga III till AI-förordningen inte är att betrakta som ett AI-system med hög risk kommer de obligatoriska kraven i artiklarna 8–15 inte att gälla för det systemet. Det utesluter dock inte att AI-systemet fortfarande kan omfattas av transparensskyldigheterna i artikel 50.
2.1.3.4 Transparensskyldigheter
I skälen 132–134 till AI-förordningen betonas att vissa AI-system vilka är avsedda att interagera med fysiska personer eller generera innehåll kan utgöra särskilda risker för identitetsmissbruk eller vilseledning. En rad olika AI-system kan också generera stora mängder syntetiskt innehåll som bli allt svårare för människor att skilja från mänskligt genererat och autentiskt innehåll. Dessa systems breda tillgänglighet och ökande kapacitet anses ha en betydande inverkan på integriteten och förtroendet för informationsekosystemet, vilket medför nya risker för felaktig information och manipulering i stor skala, bedrägeri, identitetsmissbruk och vilseledande av konsumenter. AI-system som används för att generera eller manipulera bilder eller ljud- eller videoinnehåll som på ett märkbart sätt liknar befintliga personer, föremål, platser, enheter eller händelser, kan också felaktigt framstå som autentiska eller sanningsenliga. Därför anger förordningen att användning av sådana system ska omfattas av särskilda transparensskyldigheter, utan att det påverkar kraven eller skyldigheterna för AI-system med hög risk. I det följande beskrivs de transparensskyldigheter som leverantörer och tillhandahållare av vissa AI-system måste följa.
Enligt artikel 50.1–2 i AI-förordningen ska leverantörer ska säkerställa att AI-system vilka är avsedda att interagera direkt med fysiska personer utformas och utvecklas på ett sådant sätt att de berörda fysiska personerna, med undantag för när det är uppenbart, informeras om att de interagerar med ett AI-system och i vissa särskilda avseenden säkerställa att AI-systemets utdata är märkta.
Enligt artikel 50.3 i AI-förordningen ska tillhandahållare av system för känsloigenkänning eller för biometrisk kategorisering informera de fysiska personer vilka exponeras för systemet om systemets drift, och ska behandla personuppgifter i enlighet med den allmänna dataskyddsförordningen och annan unionsrätt vad gäller skyddet av personuppgifter. Undantag gäller för viss användning av AI-system för biometrisk kategorisering och känsloigenkänning inom området för brottsbekämpning.
Enligt artikel 50.4 i AI-förordningen ska tillhandahållare av ett AI-system vilket genererar eller manipulerar bild-, ljud- eller videoinnehåll vilket utgör en så kallad deepfake (begreppet kommer ifrån en sammanslagning av engelskans ord deep machine learning och fake, vilka på svenska motsvaras av djup maskininlärning och falsk), det vill säga tekniskt framställd förfalskad information vilken framstår som äkta och trovärdig, upplysa om att innehållet har genererats artificiellt eller manipulerats. En liknande upplysningsskyldighet ska enligt artikel 50.4 gälla för tillhandahållare av AI-system vilka genererar eller manipulerar text som offentliggörs i syfte att informera allmänheten om frågor av allmänt intresse.
Enligt artikel 50.5 i AI-förordningen ska informationen vilken har beskrivits ovan lämnas till de berörda fysiska personerna på ett tydligt och urskiljbart sätt senast vid tidpunkten för den första interaktionen eller exponeringen.
2.1.3.5 Minimal eller ingen risk
AI-förordningen reglerar inte alla AI-system som släpps på marknaden, tas i bruk eller används inom EU. Exempelvis AI-system vilka skulle anses utgöra minimal eller ingen risk är inte föremål för specifika krav eller begränsningar enligt AI-förordningen, utifrån att dessa system kan bedömas ha en låg sannolikhet att orsaka skada mot människors hälsa, säkerhet eller kränka grundläggande rättigheter.
I artikel 95 i AI-förordningen uppmuntras dock leverantörer, tillhandahållare och andra parter för dessa AI-system att följa frivilliga uppförandekoder för att säkerställa att dessa är etiska och ansvarsfulla, även om det inte föreligger några tvingande krav eller skyldigheter för desamma enligt AI-förordningen.
2.1.4 Skyldigheter för leverantörer, tillhandahållare och andra parter
2.1.4.1 Skyldigheter för leverantörer av AI-system med hög risk
Utöver skyldigheten att säkerställa att AI-system med hög risk uppfyller de obligatoriska kraven enligt artiklarna 8–15 i AI-förordningen, ska leverantörer enligt artikel 16 i förordningen också iaktta följande skyldigheter:
- Kvalitetsstyrningssystem, i artikel 17: Leverantörer ska inrätta ett kvalitetsstyrningssystem för att säkerställa efterlevnad av AI-förordningen.
- Bevarande av dokumentation, i artikel 18: Leverantörer ska förvara viss dokumentation under en period om tio år efter det att ett AI-system med hög risk har släppts ut på marknaden eller tagits i bruk. Dokumentationen ska kunna tillhandahållas de nationella behöriga myndigheterna.
- Automatiskt genererade loggar, i artikel 19: Leverantörer ska även spara de loggar som avses i artikel 12.1 vilka genereras automatiskt av AI-system med hög risk, i den mån loggarna står under dennas kontroll.
- Bedömning av överensstämmelse, i artikel 43: Leverantören ska säkerställa att AI-system med hög risk genomgår det relevanta förfarandet för bedömning av överensstämmelse med AI-förordningens krav i enlighet med artikeln, innan det släpps ut på marknaden eller tas i bruk.
- EU-försäkran, i artikel 47: Leverantören ska utarbeta en EU-försäkran om överensstämmelse med AI-förordningen för AI-systemet med hög risk.
- Registrering i EU-databasen, i artikel 49: Leverantörer ska för vissa AI-system med hög risk registrera sig själva och systemet i den EU-databas vilken avses i artikel 71.
- Korrigerande åtgärder och informationsplikt, i artikel 20: Leverantörer av AI-system med hög risk vilka anser eller har skäl att tro att ett system med hög risk inte uppfyller kraven i AI-förordningen, ska omedelbart vidta korrigerande åtgärder för att systemet ska överensstämma med kraven. Alternativt behöver leverantören dra tillbaka, inaktivera eller återkalla AI-systemet. Leverantörer åläggs samtidigt en informationsplikt.
- Samarbete med behöriga myndigheter, i artikel 21: Leverantörer ska enligt artikel 16 och på motiverad begäran av en nationell behörig myndighet visa att AI-systemet med hög risk uppfyller de obligatoriska kraven i artiklarna 8–15.
2.1.4.2 Skyldigheter för tillhandahållare av AI- system med hög risk
Av artiklarna 26 och 27 i AI-förordningen framgår följande skyldigheter som gäller för tillhandahållare av AI-system med hög risk:
- Tekniska och organisatoriska åtgärder, i artikel 26.1 i AI-förordningen: Tillhandahållare av AI-system med hög risk ska vidta lämpliga tekniska och organisatoriska åtgärder i syfte att säkerställa att systemen används i enlighet med de bruksanvisningar vilka leverantörerna är skyldiga att tillhandahålla med systemen.
- Kompetens, utbildning och auktoritet, i artikel 26.2 i AI-förordningen: Tillhandahållare ska även tilldela fysiska personer vilka har nödvändig kompetens, utbildning och auktoritet samt nödvändigt stöd uppgiften att utöva mänsklig kontroll.
- Kontroll över indata, i artikel 26.4 i AI-förordningen: Om tillhandahållaren utövar kontroll över indata ska tillhandahållaren också säkerställa att denna indata är relevant och tillräckligt representativ i förhållande till det avsedda ändamålet med AI-systemet med hög risk.
- Övervaka driften, i artikel 26.5 i AI-förordningen: Tillhandahållare ska övervaka driften av AI-systemet med hög risk utifrån den bruksanvisning vilken leverantören är skyldig att tillhandahålla med systemet. De loggar vilka genereras automatiskt av AI-system med hög risk ska tillhandahållaren spara i den utsträckning som sådana loggar står under dennes kontroll.
- Automatiskt genererade loggar, i artikel 26.6 i AI-förordningen: Tillhandahållare ska spara de loggar vilka genereras automatiskt av AI-systemet med hög risk, i den mån sådana loggar står under deras kontroll. Det ska ske under en period lämplig för det avsedda ändamålet med AI-systemet med hög risk. Automatiskt genererade loggar ska dock alltid sparas i minst sex månader, om inte annat föreskrivs i tillämplig unionsrätt eller nationell rätt, särskilt unionsrätten om skydd av personuppgifter.
- Information till arbetstagarrepresentanter, i artikel 26.7 i AI-förordningen: Tillhandahållare som är arbetsgivare ska innan AI-systemet tas i bruk informera arbetstagarrepresentanterna och de berörda arbetstagarna om att de kommer att vara föremål för användning av ett AI-system med hög risk.
- Fullgöra registreringsskyldigheter, i artikel 26.8 i AI-förordningen: Tillhandahållare av AI-system med hög risk vilka är offentliga myndigheter eller unionens institutioner, organ eller byråer ska fullgöra de registreringsskyldigheter vilka avses i artikel 49.
- Fullgöra konsekvensbedömning, i artikel 26.9 i AI-förordningen: I tillämpliga fall ska tillhandahållare av AI-system med hög risk använda den information vilken tillhandahålls enligt artikel 13 för att fullgöra sin skyldighet att genomföra en konsekvensbedömning avseende dataskydd enligt artikel 35 i den allmänna dataskyddsförordningen eller artikel 27 i Europaparlamentets och rådets direktiv (EU) 2016/680 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (brottsdatadirektivet).
- Begäran om tillstånd, i artikel 26.10 i AI-förordningen: Inom ramen för en utredning för målinriktad sökning av en person vilken misstänks ha begått ett brott eller vilken har dömts för att ha begått ett brott ska tillhandahållaren av ett AI-system med hög risk för biometrisk fjärridentifiering i efterhand, utan att det påverkar tillämpningen av brottsdatadirektivet, på förhand eller utan oskäligt dröjsmål och senast inom 48 timmar, av en rättslig myndighet eller en administrativ myndighet vars beslut är bindande och föremål för rättslig prövning begära tillstånd för användning av det systemet, utom när det används för den inledande identifieringen av en potentiell misstänkt på grundval av objektiva och verifierbara fakta med direkt anknytning till brottet. Varje användning ska begränsas till vad som är absolut nödvändigt för att utreda ett specifikt brott.
- Informationskrav, i artikel 26.11 i AI-förordningen: Tillhandahållare av AI-system med hög risk vilka omfattas av de områden som förtecknas i bilaga III, och vilka fattar beslut eller hjälper till att fatta beslut vilka rör fysiska personer, ska informera dessa fysiska personer om att de är föremål för användning av ett AI-system med hög risk.
- Konsekvensbedömning av grundläggande rättigheter, i artikel 27 i AI-förordningen: För AI-system med hög risk vilka omfattas av de områden som förtecknas i bilaga III ska, under vissa angivna förutsättningar, även en konsekvensbedömning göras för den inverkan på grundläggande rättigheter som användningen av systemen kan ge upphov till. Bedömningen ska bestå av ett visst antal moment vilka anges i artikel 27.1 led a–f. När en sådan bedömning har gjorts ska tillhandahållaren underrätta den berörda marknadskontrollmyndigheten om resultatet. Denna skyldighet gäller dock endast för den första användningen av AI- systemet med hög risk.
2.1.4.3 Skyldigheter för importörer och distributörer av AI-system med hög risk
I artiklarna 23 och 24 i AI-förordningen anges de skyldigheter som gäller för importörer och distributörer av AI-system med hög risk. Importörer ska i huvudsak kontrollera att AI-system med hög risk överensstämmer med AI-förordningen före systemen släpps ut på marknaden. Av artikel 23.1 följer att importören ska kontrollera följande:
- Att det tillämpliga förfarandet för bedömning av överensstämmelse enligt artikel 43 har utförts av leverantören av AI-systemet med hög risk.
- Att leverantören har upprättat den tekniska dokumentationen i enlighet med artikel 11 och bilaga IV.
- Att systemet har CE-märkning och en bruksanvisning samt åtföljs av en EU-försäkran enligt artikel 47.
- Att leverantören har utsett ett ombud enligt artikel 22.1.
Om importören har tillräckliga skäl att tro att ett AI-system med hög risk inte överensstämmer med AI-förordningen, är förfalskat eller åtföljd av förfalskad dokumentation får importören inte släppa ut systemet på marknaden före det att systemet är förenligt med kraven.
Importörer behöver också ange sitt namn, firmanamn eller registrerade varumärke och en kontaktadress på systemet och förpackningen eller i den åtföljande dokumentationen.
Av artikel 24.1 i AI-förordningen följer att distributörer av AI-system med hög risk ska kontrollera att systemen är försedda med erforderlig CE-märkning, att de åtföljs av en kopia av en EU-försäkran om överensstämmelse och har en bruksanvisning. Distributören ska också kontrollera, om tillämpligt, att leverantören och importören har angett sitt namn och firmanamn eller varumärke med mera enligt artikel 16 led b respektive artikel 23.3 i AI-förordningen.
Om en distributör anser eller har skäl att tro att ett AI-system med hög risk inte överensstämmer med de obligatoriska kraven för dessa system enligt artiklarna 8–15 i AI-förordningen, får distributören inte tillhandahålla systemet på marknaden förrän systemet är förenligt med dessa krav. Om AI-systemet med hög risk utgör en risk enligt artikel 79.1 ska distributören även informera leverantören eller importören av systemet om detta.
Distributörer ska vidta korrigerande åtgärder om de anser eller har skäl att tro att ett AI-system med hög risk inte överensstämmer med de obligatoriska kraven i artiklarna 8–15 i AI-förordningen för att systemet ska överensstämma med dessa krav. Alternativt ska distributören dra tillbaka eller återkalla systemet eller säkerställa att leverantören, importören eller annan berörd operatör vidtar korrigerande åtgärder.
Importörer och distributörer ska också, så länge de har ansvar för ett AI-system med hög risk, säkerställa att lagrings- eller transportförhållanden inte äventyrar systemets överensstämmelse med de obligatoriska kraven i artiklarna 8–15 i AI-förordningen.
2.1.4.4 Ansvaret längs AI-värdekedjan
AI-värdekedjan omfattar alla aktörer vilka är involverade i utvecklingen, distributionen och användningen av AI-system. Varje aktör i denna kedja har specifika roller och ansvar för att säkerställa att AI-system uppfyller kraven enligt AI-förordningen. En aktörs ansvar för ett system med hög risk enligt AI-förordningen kan dock kan komma att ändras utifrån handhavandet av systemet. Av AI-förordningens artikel 25.1 följer att distributörer, importörer, tillhandahållare och andra tredje parter ska betraktas som leverantörer av AI-system med hög risk, och ha de skyldigheter som leverantören har enligt artikel 16, om något av följande villkor är uppfyllda:
a) De sätter sitt namn eller varumärke på ett AI-system med hög risk vilket redan har släppts ut på marknaden eller tagits i bruk. Det lämnas ändå utrymme för att avtala om att skyldigheterna ska fördelas på annat sätt.
b) De gör en väsentlig ändring av ett AI-system med hög risk vilket redan har släppts ut på marknaden eller redan har tagits i bruk på ett sådant sätt att det fortfarande är ett AI-system med hög risk.
c) De ändrar det avsedda ändamålet för ett AI-system vilket inte har klassificerats som ett system med hög risk, och vilket redan har släppts ut på marknaden eller tagits i bruk, på ett sådant sätt att det berörda systemet blir ett AI-system med hög risk.
Om någon av ovanstående omständigheter inträffar ska den ursprungliga leverantören vilken först släppte ut AI-systemet på marknaden eller tog det i bruk inte längre betraktas som leverantör av det specifika systemet. Den ursprungliga leverantören ska dock i nära samarbeta med nya leverantörer, tillgängliggöra den nödvändiga informationen och tillhandahålla den rimligen förväntade tekniska åtkomsten samt annat stöd vilket krävs för att fullgöra skyldigheterna enligt förordningen.
När det gäller AI-system med hög risk vilka utgör säkerhetskomponenter i produkter vilka omfattas av EU:s produktsäkerhetslagstiftning som förtecknas i bilaga IA till AI-förordningen gäller att produkttillverkare kan klassificeras som leverantör av AI-systemet med hög risk ifall någon av följande omständigheter föreligger:
a) AI-systemet med hög risk släpps ut på marknaden med produkten under produkttillverkarens namn eller varumärke.
b) AI-systemet med hög risk tas i bruk under produkttillverkarens namn eller varumärke efter det att produkten släppts ut på marknaden.
2.1.5 Standarder, bedömning av överensstämmelse, intyg och registrering
2.1.5.1 Standarder
Av skäl 121 till AI-förordningen framgår att standardisering bör ha en nyckelroll för att förse leverantörer med tekniska lösningar för att säkerställa efterlevnaden av förordningen i linje med den senaste utvecklingen.
Enligt artikel 40.1 i AI-förordningen ska AI-system med hög risk eller AI-modeller för allmänna ändamål vilka är förenliga med harmoniserade standarder förutsättas överensstämma med de obligatoriska kraven i artiklarna 8–15 för AI-system med hög risk eller skyldigheterna för leverantörer av AI-modeller för allmänna ändamål enligt artiklarna 53–55, i den utsträckning som standarderna omfattar dessa krav eller skyldigheter.
I artikel 40.2 i AI-förordningen åläggs kommissionen en skyldighet att utfärda begäranden om standardisering som omfattar de obligatoriska kraven i artiklarna 8–15 för AI-system med hög risk eller skyldigheterna för leverantörer av AI-modeller för allmänna ändamål enligt artiklarna 53–55 till de europeiska standardiseringsorganisationerna.
2.1.5.2 Gemensamma specifikationer
I artikel 41 i AI-förordningen ges kommissionen befogenhet att under vissa villkor anta genomförandeakter i syfte att fastställa gemensamma specifikationer för de obligatoriska kraven i artiklarna 8–15 för AI-system med hög risk eller om tillämpligt, skyldigheterna för leverantörer av AI-modeller för allmänna ändamål enligt artiklarna 53–55.
Enligt artikel 41.3 i AI-förordningen ska AI-system med hög risk eller AI-modeller för allmänna ändamål vilka överensstämmer med dessa gemensamma specifikationer eller delar av dessa specifikationer, ska förutsättas överensstämma med de obligatoriska kraven för AI-system med hög risk eller skyldigheterna för AI-modeller för allmänna ändamål, i den omfattning som de gemensamma specifikationerna omfattar dessa krav eller skyldigheter.
2.1.5.3 Förfaranden för bedömning av överensstämmelse
I skäl 121 till AI-förordningen anges att AI-systemen med hög risk vara föremål för bedömning av överensstämmelse före de släpps ut på marknaden eller tas i bruk, i syfte att säkerställa en hög nivå av tillförlitlighet för systemen. Olika förfaranden för bedömning av överensstämmelse gäller beroende på typen av AI-system med hög risk. I vissa fall uppställs krav på tredjepartsbedömning. Av skäl 125 framgår att tredjepartsbedömning avser ett lämpligt förfarande för bedömning av överensstämmelse för AI-system med hög risk vilket involverar anmälda organ. Bestämmelser om detta finns i artikel 43 och däri angivna hänvisningar och avser:
- intern kontroll eller tredjepartsbedömning för AI-system med hög risk som används för biometri enligt punkten 1 i bilaga III, enligt artikel 43.1 första stycket,
- intern kontroll för AI-system som avses i punkterna 2–8 i bilaga III, enligt artikel 43.2,
- AI-system som utgör säkerhetskomponenter i produkter eller produkter som omfattas av unionens produktsäkerhetslagstiftning enligt avsnitt A i bilaga I, enligt artikel 43.3, och
- tredjepartsbedömning av överensstämmelse för andra AI-system med hög risk.
För andra AI-system med hög risk ska leverantören följa det förfarande för bedömning av överensstämmelse som anges i bilaga VII, vilket inkluderar bedömning av det anmälda organet. Detta i syfte att visa att systemet uppfyller de obligatoriska kraven i artiklarna 8–15.
Det beskrivna förfarandet för bedömning av överensstämmelse gäller för sådana AI-system vilka utgör säkerhetskomponenter i produkter eller är en produkt vilken omfattas av unionens produktsäkerhetslagstiftning enligt avsnitt A i bilaga I till förordningen. Tredjepartsbedömning av överensstämmelse för AI-system med hög risk enligt bilaga VII kommer också gälla inom området biometri (punkten 1 i bilaga III), om harmoniserade standarder saknas, inte har tillämpats eller har offentliggjorts med en begränsning alternativt om gemensamma specifikationer inte är tillgängliga eller har tillämpats.
Enligt artikel 43.4 ska AI-system med hög risk, vilka redan har varit föremål för ett förfarande för bedömning av överensstämmelse, genomgå ett nytt förfarande för bedömning av överensstämmelse i fall av en väsentlig ändring. Detta gäller oavsett om det ändrade systemet är avsett att distribueras vidare eller fortsätter att användas av den nuvarande tillhandahållaren.
Enligt punkten 4.6 i bilaga VII ska det anmälda organet, om ett AI-system med hög risk, vilket är föremål för tredjepartsbedömning i enlighet med bilaga VII, uppfyller de obligatoriska kraven enligt artiklarna 8–15 utfärda ett unionsintyg om bedömning av teknisk dokumentation Enligt artikel 44 ska intyget gälla under den tid som anges i dem och högst i fem år för AI-system vilka omfattas av unionens produktsäkerhetslagstiftning enligt bilaga I, och fyra år för AI-system vilka omfattas av bilaga III.
Enligt artikel 46.1 kan en marknadskontrollmyndighet, efter en vederbörligen motiverad begäran, tillåta att specifika AI-system med hög risk släpps ut på marknaden eller tas i bruk inom en medlemsstats territorium, utan att systemen har genomgått en bedömning av överensstämmelse enligt artikel 43. Detta förutsätter att exceptionella skäl föreligger som rör allmän säkerhet eller skydd av människors liv och hälsa, miljöskydd eller skydd av viktiga industriella och infrastrukturella tillgångar. Tillståndet ska gälla under en begränsad period, medan de nödvändiga förfarandena för bedömning av överensstämmelse genomförs. Enligt artikel 46.3 ska tillstånd endast utfärdas om marknadskontrollmyndigheten konstaterar att AI-systemet med hög risk uppfyller de obligatoriska kraven enligt artiklarna 8–15.
2.1.5.4 EU-försäkran och CE-märkning
I artikel 47 i AI-förordningen anges att leverantören är skyldig att upprätta en skriftlig maskinläsbar, fysisk eller elektroniskt undertecknad EU-försäkran om överensstämmelse för varje AI-system med hög risk. Enligt artikel 47.1 ska leverantören kunna uppvisa EU-försäkran för de nationella behöriga myndigheterna i tio år efter det att systemet har släppts ut på marknaden eller tagits i bruk. Enligt artikel 47.2 ska det i EU-försäkran anges om AI-systemet med hög risk uppfyller de obligatoriska kraven enligt artiklarna 8–15. Den information som anges i bilaga V till förordningen ska också finnas i EU-försäkran. Enligt artikel 47.3 ska leverantören, om ett AI-system med hög risk även omfattas av annan unionsrättslig lagstiftning som kräver en EU-försäkran, upprätta en gemensam EU-försäkran om överensstämmelse med all unionsrätt tillämplig på systemet. Enligt artikel 48.3 ska en CE-märkning för AI-system med hög risk anbringas och den ska vara synlig, läsbar och outplånlig. Om det inte är möjligt eller lämpligt med anledning av den aktuella typen av system, ska märkningen i stället anbringas på förpackningen eller den medföljande dokumentationen. Enligt artikel 48.1 ska CE-märkningen utformas i enlighet med de principer för sådan märkning som fastställs i artikel 30 i Europaparlamentets och rådets förordning (EG) nr 765/2008 om krav för ackreditering och marknadskontroll i samband med saluföring av produkter och upphävande av förordning (EEG) nr 339/93 (ackrediteringsförordningen).
2.1.5.5 Registrering i EU-databasen
Enligt artikel 71.1 i AI-förordningen ska kommissionen inrätta och underhålla en centraliserad EU-databas för AI-system med hög risk, som omfattas av de områden som anges i bilaga III till förordningen, i samarbete med medlemsstaterna. Enligt artikel 49 är det leverantören som med vissa undantag ska registrera sig själv och AI-systemet med hög risk enligt bilaga III i EU-databasen.
2.1.6 Särskilda bestämmelser om AI-modeller för allmänna ändamål
2.1.6.1 Skyldigheter för leverantörer av AI-modeller för allmänna ändamål
Enligt skäl 101 till AI-förordningen har leverantörer av AI-modeller för allmänna ändamål en särskild roll och ett särskilt ansvar i AI-värdekedjan. Det anges att dessa AI-modeller kan utgöra grunden för en rad system i efterföljande led. Leverantörer av AI-system i efterföljande led behöver ha god kunskap om modellerna och deras kapacitet, för att kunna integrera modellerna i AI-systemen, och för att kunna fullgöra sina skyldigheter enligt förordningen och annan unionsrätt. Av förordningen framgår att detta har ansetts motivera proportionella transparensskyldigheter för AI-modeller för allmänna ändamål. Leverantörer av sådana AI-modeller är mot den bakgrunden skyldiga att iaktta vissa skyldigheter som följer av artikel 53. Skyldigheterna innefattar att:
- Utarbeta och uppdatera teknisk dokumentation, enligt artikel 53.1 led a.
- Utarbeta, uppdatera och tillgängliggöra information och dokumentation för leverantörer av AI-system, enligt artikel 53.1 led b.
- Införa en policy om upphovsrätt och närstående rättigheter, enligt artikel 53.1 led c.
- Utarbeta och göra en tillräckligt detaljerad sammanfattning av det innehåll som använts för träning av AI-modellen för allmänna ändamål, enligt artikel 53.1 led d.
Enligt artikel 53.2 i AI-förordningen är skyldigheterna att utarbeta och uppdatera den tekniska dokumentationen och att utarbeta, uppdatera och tillgängliggöra information och dokumentation för leverantörer av AI-system, inte tillämpliga på leverantörer av AI-modeller vilka släpps ut med en kostnadsfri licens med öppen källkod vilken möjliggör åtkomst, användning, ändring och distribution av modellen.
Enligt artikel 54.1 i AI-förordningen ska en leverantör av en AI-modellen för allmänna ändamål, om denna är etablerad i ett tredje land, utse ett ombud etablerat i unionen före det att AI-modellen släpps ut inom unionen.
Kommissionen har som konstaterades under avsnittet 2.1.2.2 publicerat riktlinjer om skyldigheterna för leverantörer av AI-modeller för allmänna ändamål.
2.1.6.2 Skyldigheter för leverantörer av AI-modeller för allmänna ändamål med systemrisk
Enligt artikel 51 i AI-förordningen ska en AI-modell för allmänna ändamål klassificeras som en AI-modell för allmänna ändamål med systemrisk om något av följande villkor är uppfyllt:
a) Den har kapacitet med hög påverkansgrad som utvärderats på grundval av lämpliga tekniska verktyg och metoder, inbegripet indikatorer och riktmärken.
b) Den har, baserat på ett beslut av kommissionen, på eget initiativ eller efter en kvalificerad varning från den vetenskapliga panelen, kapacitet eller inverkan som motsvarar den som avses i led a med beaktande av kriterierna i bilaga XIII.
Leverantörer av AI-modeller för allmänna ändamål med systemrisk
ska, utöver skyldigheterna enligt artikel 53, iaktta skyldigheterna som anges i artikel 55. Leverantören ska enligt artikel 55:
- Genomföra utvärderingar, enligt artikel 55.1 led a,
- Bedöma och minska eventuella systemrisker, enligt artikel 55.1 led b,
- Bevaka, dokumentera och rapportera, enligt artikel 55.1 led c.
- Säkerställa lämplig nivå av cybersäkerhetsskydd, enligt artikel 55.1 led d.
2.1.7 Regulatoriska sandlådor för AI och testning under verkliga förhållanden
Enligt artikel 57.1 stycke ett i AI-förordningen ska de nationella behöriga myndigheterna inrätta minst en regulatorisk sandlåda för AI på nationell nivå. Regulatorisk sandlåda för AI definieras i artikel 3.55 som en kontrollerad ram som inrättats av en behörig myndighet och vilken erbjuder leverantörer eller potentiella leverantörer av AI-system möjlighet att utveckla, träna, validera och testa, när så är lämpligt under verkliga förhållanden, ett innovativt AI-system, enligt en specifik sandlådeplan för en begränsad tid under regulatorisk tillsyn. Enligt artikel 57.1 får den regulatoriska sandlådan också inrättas tillsammans med de behöriga myndigheterna i andra medlemsstater. Enligt artikel 57.1 andra stycket får skyldigheten enligt första stycket också fullgöras genom deltagande i en befintlig sandlåda i den mån deltagandet ger en likvärdig nivå av nationell täckning för de deltagande medlemsstaterna.
Enligt artikel 57.2 i AI-förordningen får även ytterligare regulatoriska sandlådor för AI inrättas på regional eller lokal nivå eller tillsammans med andra medlemsstaters behöriga myndigheter.
Enligt artikel 60 i AI-förordningen, i syfte att påskynda utvecklingen och utsläppandet på marknaden av AI-system med hög risk, införs också en möjlighet till testning av AI-system med hög risk under verkliga förhållanden, utan att delta i en regulatorisk sandlåda för AI. Testning under verkliga förhållanden definieras i artikel 3.57 som tillfällig testning av ett AI-system med avseende på dess avsedda ändamål under verkliga förhållanden utanför ett laboratorium eller en på annat sätt simulerad miljö i syfte att samla in tillförlitliga och robusta data och bedöma och kontrollera AI-systemets överensstämmelse med kraven i AI-förordningen, vilken inte innebär att AI-systemet släpps ut på marknaden eller tas i bruk i den mening som avses i AI-förordningen. Vidare förutsätts att villkoren i artiklarna 57 eller 60 är uppfyllda.
2.1.8 Tillsyn och efterlevnadskontroll
2.1.8.1 Tillsynsansvar enligt AI-förordningen
Ansvaret för tillsyn och efterlevnadskontroll enligt AI-förordningen fördelas mellan kommissionen, AI-byrån och nationella behöriga myndigheter. Enligt artikel 70.1 i AI-förordningen ska varje medlemsstat som nationella behöriga myndigheter att ansvara för tillsynen avseende tillämpningen och genomförandet av förordningen utse minst:
- en anmälande myndighet, och
- en marknadskontrollmyndighet.
Enligt artikel 70.2 ska en marknadskontrollmyndighet också utses att fungera som gemensam kontaktpunkt för förordningen. De nationella behöriga myndigheterna ska utöva sina befogenheter på ett oberoende, objektivt och opartiskt sätt för att säkerställa objektiviteten i sina aktiviteter och uppgifter och för att säkerställa tillämpningen och genomförandet av förordningen.
På unionsnivå får kommissionen och AI-byrån i enlighet med artiklarna 88–93 befogenheter att utöva tillsyn och kontroll av efterlevnad samt befogenheter för att kunna övervaka och utreda leverantörer av AI-system för allmänna ändamål. Enligt artikel 75.1 får kommissionen och AI-byrån också befogenhet att övervaka och utöva tillsyn över AI-systems efterlevnad om det bygger på en AI-modell för allmänna ändamål och modellen och systemet har utvecklats av samma leverantör.
2.1.8.2 Nationell tillsyn
Anmälande myndigheter
Enligt definitionen av anmälande myndighet i artikel 3.19 i AI-förordningen är anmälande myndighet den nationella myndighet som ansvarar för inrättandet och genomförandet av de förfaranden som krävs för bedömning, utseende och anmälan av organ för bedömning av överensstämmelse och för övervakning av dessa. Enligt AI-förordningens artikel 28.1 ska varje medlemsstat som nationell behörig myndighet utse eller inrätta minst en anmälande myndighet med ansvar för att fastställa och genomföra de förfaranden som krävs för bedömning, utseende och anmälan av organ för bedömning av överensstämmelse och för övervakning av dessa. Den anmälande myndighetens förfaranden ska utvecklas i samarbete mellan de anmälande myndigheterna i alla medlemsstater. Enligt artikel 28.2 får medlemsstaterna bestämma att den bedömning och övervakning som avses i artikel 28.1 ska utföras av ett nationellt ackrediteringsorgan i den mening som avses i, och i enlighet med, ackrediteringsförordningen.
Enligt artikel 30.1 i AI-förordningen får en anmälande myndighet endast anmäla de organ för bedömning av överensstämmelse som uppfyller vissa angivna krav. Övervakningsskyldigheten består i att en anmälande myndighet ska kontrollera efterlevnaden av AI-förordningen vad gäller AI-system med hög risk i enlighet med de förfaranden för bedömning av överensstämmelse som följer av förordningen.
Enligt artikel 34.3 i AI-förordningen ska en anmälda organ, i syfte att en anmälande myndighet ska kunna utföra sin verksamhet avseende bedömning, utseende, anmälan och övervakning, tillhandahålla och på begäran lämna över all relevant dokumentation, inbegripet leverantörens dokumentation, till en anmälande myndighet.
Marknadskontrollmyndigheter
Enligt definitionen i artikel 3.26 i AI-förordningen är en marknadskontrollmyndighet en nationell myndighet som utför aktiviteter och vidtar åtgärder enligt EU:s marknadskontrollförordning. Av artikel 74.1 följer också att Europaparlamentets och rådets förordning (EU) 2019/1020 om marknadskontroll och överensstämmelse för produkter och om ändring av direktiv 2004/42/EG och förordningarna (EG) nr 765/2008 och (EU) nr 305/2011 (hädanefter benämnd marknadskontrollförordningen) ska tillämpas på AI-system som omfattas av AI-förordningen.
Enligt artikel 76.1 i AI-förordningen ska marknadskontrollmyndigheten vidare utöva tillsyn av testning under verkliga förhållanden.
Enligt artiklarna 79–83 i AI-förordningen får marknadskontrollmyndigheter dessutom en särskild roll vad gäller bedömning av risk för AI-system. I skäl 156 till AI-förordningen anges att marknadskontrollmyndigheter kan vidta åtgärder med avseende på alla AI-system när de utgör en risk i enlighet med AI-förordningen.
Förfarandena vilka avses i artiklarna 79–83 i AI-förordningen är dock inte tillämpliga på AI-system vilka är relaterade till produkter som omfattas av unionens produktsäkerhetslagstiftning enligt avsnitt A i bilaga I, om dessa rättsakter redan föreskriver förfaranden som säkerställer en likvärdig skyddsnivå och har samma syfte.
2.1.8.3 Tillsyn och styrning på EU-nivå
Tillsyn, efterlevnadskontroll och övervakning av leverantörer av AI-modeller för allmänna ändamål
Enligt artikel 88.1 i AI-förordningen har kommissionen exklusiv befogenhet att utöva tillsyn och efterlevnadskontroll avseende de krav och skyldigheter vilka gäller för leverantörer av AI-modeller för allmänna ändamål enligt AI-förordningen. I artiklarna 89–93 och 75.1 återfinns bestämmelser vilka ger kommissionen och AI-byrån behörighet att vidta åtgärder inom tillsyn, utredning, efterlevnadskontroll och övervakning. Kommissionen har bland annat befogenhet att vidta övervakningsåtgärder, att begära dokumentation och information, genomföra utvärderingar av berörda AI-modeller för allmänna ändamål och begära att leverantörer vidtar åtgärder. AI-byrån ska även vid utförandet av sina övervaknings- och tillsynsuppgifter över gentemot en leverantör av en AI-modell för allmänna ändamål ha alla befogenheter som en marknadskontrollmyndighet har enligt AI-förordningen och marknadskontrollförordningen.
Styrning på unionsnivå
För att säkerställa en korrekt efterlevnad inrättas genom AI-förordningen flera styrande organ med följande roller och ansvar.
- AI-byrån, enligt artikel 64 i AI-förordningen: Av definitionen av AI-byrån i artikel 3.47 framgår att AI-byrån är kommissionens funktion att bidra till genomförandet, övervakningen och tillsynen av AI-system samt AI-modeller för allmänna ändamål samt AI-styrning. Enligt artikel 64.1 ska kommissionen genom AI-byrån utveckla unionens sakkunskap och kapacitet på AI-området. Enligt artikel 64.2 ska medlemsstaterna underlätta de uppgifter som anförtros AI-byrån.
- Den europeiska styrelsen för artificiell intelligens (AI-styrelsen), enligt artiklarna 65 och 66: i AI-förordningen Enligt artikel 66 består AI-styrelsens huvudsakliga uppgift består av att ge råd till och bistå kommissionen och medlemsstaterna för att underlätta en konsekvent och effektiv tillämpning av AI-förordningen. Enligt artikel 65 ska AI-styrelsen bestå av en företrädare per medlemsstat.
- Rådgivande forum, enligt artikel 67 i AI-förordningen: Enligt artikel 67.1 ska det rådgivande forumet tillhandahålla teknisk expertis och ge råd till AI-styrelsen och kommissionen och bidra till deras uppgifter enligt AI-förordningen. Enligt artikel 67.2 ska det rådgivande forumet bestå av medlemmar vilka representerar ett balanserat urval av berörda parter, däribland branschen, uppstartsföretag, små och medelstora företag, det civila samhället, och den akademiska världen. Sammansättningen ska vara balanserad med avseende på kommersiella och icke-kommersiella intressen samt, inom kategorin kommersiella intressen, med avseende på små och medelstora företag och andra företag. Enligt artikel 67.3 ska medlemmarna i det rådgivande forumet utses bland berörda parter med erkänd sakkunskap på AI-området.
- Vetenskaplig panel av oberoende experter, enligt artiklarna 68 och 69 i AI-förordningen: Kommissionen har, i enlighet med artikel 68.1 genom en genomförandeakt[3] fastställt bestämmelser om inrättandet av en vetenskaplig panel av oberoende experter, vilken ska stödja verksamheten för efterlevnadskontroll enligt AI-förordningen. Enligt artikel 68.2 ska den vetenskapliga panelen bestå av experter vilka har valts ut av kommissionen på grundval av aktuell vetenskaplig eller teknisk expertis på AI-området och som är nödvändiga för lösandet av den vetenskapliga panelens uppgifter. Experterna ska kunna visa att har särskild sakkunskap och kompetens samt vetenskaplig eller teknisk expertis på AI-området, och beroende ställning i förhållande till leverantörer av AI-system eller AI-modeller för allmänna ändamål samt förmåga att bedriva verksamhet aktsamt, korrekt och objektivt.
2.1.9 Rättsmedel
2.1.9.1 Klagomål till marknadskontrollmyndigheten
I skäl 170 till AI-förordningen anförs att unionsrätten och nationell rätt redan föreskriver effektiva rättsmedel för fysiska och juridiska personer vars rättigheter och friheter påverkas negativt av AI-system. Utan att det påverkar sådana rättsmedel anges i artikel 85.1 att varje fysisk eller juridisk person som har skäl att anse att bestämmelserna i AI-förordningen har överträtts får lämna in klagomål till den berörda marknadskontrollmyndigheten.
2.1.9.2 Rätt till förklaring av individuellt beslutsfattande
Enligt artikel 86.1 i AI-förordningen ska varje berörd person som är föremål för ett beslut som fattas av tillhandahållaren på grundval av utdata från ett AI-system med hög risk som omfattas av de områden vilka förtecknas i bilaga III ha rätt att erhålla tydliga och meningsfulla förklaringar av AI-systemets roll i beslutsförfarandet och de viktigaste delarna av det beslut som fattats. Detta förutsätter att beslutet har rättslig verkan eller på liknande sätt i betydande grad påverkar den personen på ett sätt som den anser ha en negativ inverkan på personens hälsa, säkerhet eller grundläggande. Enligt 2 punkten i bilaga III gäller undantag för AI-system med hög risk som används inom kritisk infrastruktur.
2.1.10 Sanktioner och andra efterlevnadsåtgärder
I artikel 99 i AI-förordningen åläggs medlemsstaterna att fastställa bestämmelser om sanktioner och andra efterlevnadsåtgärder. Det kan innefatta varningar och icke-monetära åtgärder som ska tillämpas vid operatörers överträdelser av bestämmelserna i förordningen. Medlemsstaterna ska också vidta alla nödvändiga åtgärder för att se till att bestämmelserna tillämpas korrekt och effektivt. Sanktionerna ska vara effektiva, proportionella och avskräckande. De ska ta hänsyn till små och medelstora företags, inbegripet uppstartsföretags, intressen och deras ekonomiska bärkraft.
Enligt artikel 101 har kommissionen vidare rätt att ålägga leverantörer av AI-modeller för allmänna ändamål med sanktionsavgifter.
2.1.11 Nationellt handlingsutrymme
2.1.11.1 Allmänt
AI-förordningen medger ett nationellt handlingsutrymme till medlemsstaterna avseende hur tillsynssystemet genomförs nationellt; vilka de behöriga myndigheterna ska vara och deras uppgifter, hur påföljdssystemet genomförs och om eventuellt tillåtande av biometrisk fjärridentifiering till den del den inte ingår i de förbjudna AI-användningsområdena enligt artikel 5. Dessutom ges nationellt handlingsutrymme i vissa processuella frågor.
2.1.11.2 Nationella behöriga myndigheter
Enligt artikel 70.1 i AI-förordningen ska varje medlemsstat som nationella behöriga myndigheter inrätta eller utse minst en anmälande myndighet och minst en marknadskontrollmyndighet. Förutsatt att dessa principer respekteras får sådana aktiviteter och uppgifter utföras av en eller flera utsedda myndigheter, i enlighet med medlemsstatens organisatoriska behov. Enligt artikel 70.2 ska medlemsstaterna också utse en marknadskontrollmyndighet som ska fungera som gemensam kontaktpunkt för förordningen.
I artikel 74.3 i förordningen föreskrivs att för AI-system med hög risk vilka är relaterade till produkter som omfattas av unionens harmoniseringslagstiftning, vilken förtecknas i avsnitt A i bilaga I, ska marknadskontrollmyndigheten vid tillämpning av förordningen vara den myndighet ansvarig för marknadskontroll som har utsetts enligt de rättsakterna. Medlemsstaterna får dock utse en annan berörd myndighet att fungera som marknadskontrollmyndighet, under förutsättning att de säkerställer samordning med de berörda sektorsspecifika marknadskontrollmyndigheter vilka är ansvariga för kontroll av efterlevnaden av unionens harmoniseringslagstiftning vilken förtecknas i avsnitt A i bilaga I.
Enligt artikel 74.6 i AI-förordningen ska marknadskontrollmyndighet, för AI-system med hög risk som släpps ut på marknaden, tas i bruk eller används av finansinstitut som regleras av unionsrätten om finansiella tjänster, vara den berörda nationella myndighet som enligt den lagstiftningen ansvarar för den finansiella tillsynen över dessa institut, i den mån utsläppandet på marknaden, ibruktagandet eller användningen av AI-systemet står i direkt samband med tillhandahållandet av dessa finansiella tjänster.
I artikel 74.8 i AI-förordningen föreskrivs att medlemsstaterna till marknadskontrollmyndighet, för AI-system med hög risk vilka förtecknas i punkt 1 i bilaga III till förordningen ska medlemsstaterna, i den mån systemen används för brottsbekämpande ändamål, gränsförvaltning och rättvisa och demokrati, och för AI-system med hög risk som förtecknas i punkterna 6, 7 och 8 i den bilagan, ska utse antingen de behöriga tillsynsmyndigheterna för dataskydd enligt den allmänna dataskyddsförordningen eller brottsdatadirektivet, eller någon annan myndighet vilken har utsetts enligt de villkor vilka fastställs i artiklarna 41–44 i brottsdatadirektivet.
Det nationella handlingsutrymmet gör det därmed möjligt att utse myndigheter och ordna deras uppgift på nationell nivå, såväl centraliserat som decentraliserat, samt med iakttagande av eller med avvikelse från organiseringen enligt harmoniseringslagstiftningen enligt avsnitt A i bilaga I och dataskyddslagstiftningen, om en ändamålsenlig samordning säkerställs. Endast den aktör som övervakar finansinstitut har definierats så i förordningen att det inte går att avvika från den valda nationella modellen för tillsyn över finansmarknaden.
Enligt artikel 74.10 i AI-förordningen ska medlemsstaterna underlätta samordningen mellan marknadskontrollmyndigheter som utses enligt förordningen och andra relevanta nationella myndigheter eller organ som utövar tillsyn över tillämpningen av unionens harmoniseringslagstiftning som förtecknas i avsnitt A i bilaga I eller annan unionsrätt som kan vara relevant för de AI-system med hög risk som avses i bilaga III. Nationellt handlingsutrymme hänför sig till på vilket sätt samordningen genomförs.
I AI-förordningen medges vidare nationellt handlingsutrymme i fråga om antalet anmälande myndigheter och utseende eller inrättandet av dem. I artikel 28.1 föreskrivs att varje medlemsstat ska utse eller inrätta minst en anmälande myndighet med ansvar för att fastställa och genomföra de förfaranden som krävs för bedömning, utseende och anmälan av organ för bedömning av överensstämmelse och för övervakning av dessa. Enligt artikel 28.2 får medlemsstaterna dessutom bestämma att den anmälande myndighetens ansvar för bedömning och övervakning av anmälda organ överförs på ett nationellt ackrediteringsorgan enligt ackrediteringsförordningen.
Enligt artikel 31.9 i AI-förordningen ska anmälda organ teckna en lämplig ansvarsförsäkring för sin verksamhet avseende bedömningar av överensstämmelse, såvida inte den medlemsstat i vilken de är etablerade tar på sig ansvaret i överensstämmelse med nationell rätt eller den medlemsstaten är direkt ansvarig för bedömningen av överensstämmelse. Medlemsstaterna kan alltså inom ramen för det nationella handlingsutrymmet ta på sig ansvaret för ett anmält organs bedömningar av överensstämmelse direkt eller med stöd av lagstiftning.
2.1.11.3 Påföljdssystem
Enligt artikel 99.1 i AI-förordningen ska medlemsstaterna, i enlighet med de villkor vilka fastställs i förordningen, fastställa bestämmelser om sanktioner och andra efterlevnadsåtgärder vilka ska tillämpas vid operatörers överträdelser av bestämmelserna i förordningen. Sanktionerna kan även innefatta varningar och icke-monetära åtgärder. Sanktionerna ska vara effektiva, proportionella och avskräckande. I artikel 99.3–5 föreskrivs om maximibeloppet av administrativa sanktionsavgifter, vilket ger lagtillämparen prövningsrätt avseende gärningens klandervärdehet och sanktionsavgiftens storlek, till den del den är mindre än maximibeloppet. I artikel 99.6 återfinns dock ett undantag, med en lindrigare formel för beräkning av sanktionsavgiften för små och medelstora företag. Prövningsrätten begränsas vidare av de förhållanden och omständigheter vilka ska beaktas i den samlade bedömningen och som uppräknas i artikel 99.7.
Även artikel 99.8 i AI-förordningen är förenad med ett nationellt handlingsutrymme beträffande i vilken mån en medlemsstat kan påföra myndigheter eller offentligrättsliga organ administrativa sanktionsavgifter. Beroende på medlemsstatens rättssystem får regleringen om administrativa sanktionsavgifter enligt artikel 99.9 tillämpas på ett sådant sätt att sanktionsavgifterna utdöms av behöriga nationella domstolar eller andra organ, beroende på vad som är tillämpligt i dessa medlemsstater och förutsatt att tillämpningen av sådana regler i dessa medlemsstater ska ha motsvarande verkan. Enligt artikel 99.10 ska utövandet av befogenheterna enligt artikeln omfattas av lämpliga rättssäkerhetsgarantier i enlighet med unionsrätten och nationell rätt, inbegripet effektiva rättsmedel och rättssäkerhet.
2.1.11.4 Biometrisk fjärridentifiering
Enligt artikel 5.5 i AI-förordningen får en medlemsstat besluta att föreskriva en möjlighet att helt eller delvis tillåta användning av system för biometrisk fjärridentifiering i realtid på allmänt tillgängliga platser för brottsbekämpande ändamål, inom de gränser och på de villkor som anges i artikel 5.1 första stycket led h samt punkterna 2 och 3. När medlemsstaterna utnyttjar det nationella handlingsutrymmet ska de i sin nationella rätt fastställa de nödvändiga närmare reglerna för begäran om, utfärdande av och utövande av samt tillsyn över och rapportering om de tillstånd som avses i artikel 5.3. I regleringen ska det också anges för vilka syften eller brott de behöriga myndigheterna kan få tillstånd att använda dessa system för brottsbekämpande ändamål. Medlemsstaterna får även införa mer restriktiva lagar om användningen av system för biometrisk fjärridentifiering i enlighet med unionsrätten.
I artikel 26 i AI-förordningen föreskrivs det om AI-system för biometrisk fjärridentifiering i efterhand och om skyldigheter för tillhandahållare av dem. Enligt artikel 26.10 får medlemsstaterna införa mer restriktiva bestämmelser om användningen av system för biometrisk fjärridentifiering i efterhand i enlighet med unionsrätten. I artikel 26.10 föreskrivs vidare att inom ramen för en utredning för målinriktad sökning av en person, vilken misstänks ha begått ett brott eller vilken har dömts för att ha begått ett brott, ska tillhandahållaren av ett AI-system med hög risk för biometrisk fjärridentifiering i efterhand, på förhand eller utan oskäligt dröjsmål och senast inom 48 timmar, av en rättslig myndighet eller en administrativ myndighet, vars beslut är bindande och föremål för rättslig prövning, begära tillstånd för användning av det systemet, utom i fråga om det undantag som nämns i bestämmelsen. Bestämmelsen medger nationellt handlingsutrymme beträffande huruvida tillstånd ska begäras av en rättslig myndighet eller administrativ myndighet.
2.1.11.5 Regulatoriska sandlådor
AI-förordningen förordningen förpliktigar medlemsstaterna till att inrätta regulatoriska sandlådor men tillåter nationellt handlingsutrymme beträffande hur sandlådan ordnas. Enligt artikel 57 i AI-förordningen ska medlemsstaterna säkerställa att deras behöriga myndigheter inrättar minst en regulatorisk sandlåda för AI på nationell nivå, vilken ska vara i drift senast den 2 augusti 2026. Sandlådan får också inrättas tillsammans med de behöriga myndigheterna i andra medlemsstater. Ytterligare regulatoriska sandlådor för AI får också inrättas på regional eller lokal nivå eller tillsammans med andra medlemsstaters behöriga myndigheter. Medlemsstaterna ska också säkerställa att de behöriga myndigheter anslår tillräckliga resurser och säkerställa lämpligt samarbete mellan de myndigheter vilka utövar tillsyn över dessa andra sandlådor och de nationella behöriga myndigheterna.
I artikel 62 i AI-förordningen föreskrivs det om sådana åtgärder för leverantörer och tillhandahållare, särskilt små och medelstora företag, inbegripet uppstartsföretag, vilka handlar om att främja innovation och fullgöra skyldigheterna enligt förordningen. Artikeln tillåter ett visst nationellt handlingsutrymme beträffande metoderna för att vidta dessa åtgärder. Enligt artikel 62.1 led b ska medlemsstaterna anordna särskilda medvetandehöjande åtgärder och utbildning om tillämpningen av förordningen anpassat till behoven hos små och medelstora företag, inbegripet uppstartsföretag, tillhandahållare och, när så är lämpligt, lokala offentliga myndigheter. I förordningen anges inte exakt hur de medvetandehöjande åtgärder och den utbildning vilken avses i bestämmelsen ska genomföras praktiskt, varför nationellt handlingsutrymme kan anses hänföra sig till det praktiska genomförandet av åtgärderna.
Enligt artikel 62.1 led c i AI-förordningen ska medlemsstaterna dessutom använda befintliga särskilda kanaler och, när så är lämpligt, upprätta nya sådana för kommunikation med små och medelstora företag, inbegripet uppstartsföretag, tillhandahållare, andra innovatörer och, om lämpligt, lokala myndigheter, för att ge råd och svara på frågor om genomförandet av förordningen, inbegripet när det gäller deltagande i regulatoriska sandlådor för AI. Nationellt handlingsutrymme kan anses föreligga avseende användningen och upprättandet av särskilda kanaler för kommunikation. Enligt artikel 62.1 led d ska medlemsstaterna underlätta små och medelstora företags och andra berörda parters deltagande i processen för standardiseringsutveckling. Det nationella praktiska genomförandet av dessa intressentgruppers deltagande kan anses medge ett nationellt handlingsutrymme.
2.1.11.6 Arbetstagarnas ställning
Enligt artikel 2.11 i AI-förordningen förhindrar inte förordningen att unionen eller medlemsstaterna behåller eller inför lagar och andra författningar vilka är förmånligare för arbetstagare när det gäller att skydda deras rättigheter i fråga om arbetsgivares användning av AI-system, eller att uppmuntra eller tillåta tillämpning av kollektivavtal vilka är förmånligare för arbetstagare. Den nationella lagstiftningen får alltså behandla arbetstagare förmånligare än bestämmelserna i förordningen.
2.1.11.7 Mänsklig kontroll
Enligt artikel 14 i AI-förordningen ska, för AI-system med hög risk vilka avses i punkt 1 a i bilaga III, de åtgärder vilka avses i artikel 14.3 dessutom vara sådana att de säkerställer att ingen åtgärd och inget beslut vidtas respektive fattas av tillhandahållaren på grundval av den identifiering som systemet resulterar i, såvida inte denna identifiering har kontrollerats och bekräftats separat av minst två fysiska personer med nödvändig kompetens, utbildning och auktoritet. Kravet på en separat kontroll av minst två fysiska personer är inte tillämpligt på AI-system med hög risk vilka används inom områdena brottsbekämpning, migration, gränskontroll eller asyl, om en tillämpning av detta krav enligt unionsrätten eller nationell rätt skulle betraktas som oproportionell. Nationellt handlingsutrymme kan utläsas ur uttrycket i den sista meningen, om oproportionell tillämpning av kravet, om och när ett sådant krav har fastställts i den nationella lagstiftningen.
2.1.11.8 Leverantörers och ombuds skyldighet att bevara dokumentation
Enligt artikel 18.2 i AI-förordningen ska varje medlemsstat fastställa på vilka villkor den dokumentation vilken avses i punkt 1 ska hållas tillgänglig för de nationella behöriga myndigheterna, under den period som anges i den punkten, i de fall då en leverantör eller dennes ombud vilket är etablerad på dess territorium går i konkurs eller upphör med sin verksamhet före utgången av denna period.
2.1.11.9 Tillämpning av tillhandahållares skyldigheter
Enligt artikel 26.1 i AI-förordningen ska tillhandahållare av AI-system med hög risk vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att de använder sådana system i enlighet med de bruksanvisningar vilka åtföljer systemen. Enligt artikel 26.2 ska tillhandahållare tilldela fysiska personer vilka har nödvändig kompetens, utbildning och auktoritet samt nödvändigt stöd uppgiften att utöva mänsklig kontroll. Enligt artikel 26.3 påverkar dessa skyldigheter dock inte andra skyldigheter för tillhandahållare enligt unionsrätten eller nationell rätt eller tillhandahållarens frihet att organisera sina egna resurser och sin egen verksamhet i syfte att genomföra de åtgärder för mänsklig kontroll som leverantören anger. Det finns därmed ett nationellt handlingsutrymme att påföra tillhandahållare ytterligare skyldigheter avseende åtgärder för mänsklig kontroll.
2.1.11.10 Nationellt register över AI-system med hög risk för kritisk infrastruktur
Enligt artikel 49.5 i AI-förordningen ska de AI-system med hög risk för kritisk infrastruktur vilka avses i punkt 2 i bilaga III registreras på nationell nivå. Det nationella handlingsutrymmet hänför sig till vilken myndighet som nationellt utses till personuppgiftsansvarig och hur registret ordnas i praktiken.
2.1.11.11 Utarbetande av uppförandekod
Enligt artikel 95.1 i AI-förordningen ska medlemsstaterna uppmuntra och underlätta utarbetandet av uppförandekoder. Vilka aktörer som deltar i utarbetandet av uppförandekoder och på vilket sätt utarbetandet uppmuntras och underlättas i medlemsstaterna är att betrakta som nationellt handlingsutrymme. Enligt artikel 95.3 får uppförandekoder utarbetas av enskilda leverantörer eller tillhandahållare av AI-system eller av organisationer vilka företräder dem eller av båda dessa, inbegripet genom att eventuella berörda parter och deras representativa organisationer involveras, inbegripet organisationer i civilsamhället och den akademiska världen. Uppförandekoder får omfatta ett eller flera AI-system, med beaktande av likheten mellan de berörda systemens avsedda ändamål. Enligt artikel 95.4 ska AI-byrån och medlemsstaterna, när de uppmuntrar och underlättar utarbetandet av uppförandekoder, ta hänsyn till de särskilda intressen och behov som små och medelstora företag, inbegripet uppstartsföretag, har.
2.1.11.12 Språkkrav
Vissa språkstadganden i förordningen medger även ett nationellt handlingsutrymme, vari vilka det föreskrivs att de nationella myndigheterna ska förses med information eller dokumentation på ett språk som är lätt att förstå för dem. Språkkrav ingår bland annat i artikel 21 om leverantörers skyldigheter, i artikel 23 om importörers skyldigheter, i artikel 44 om intyg som utfärdas av anmälda organ, i artikel 47 om anmälda organs EU-försäkran om överensstämmelse och i artikel 77 om rätt till information för myndigheter vilka skyddar grundläggande rättigheter.
2.1.12 Förteckningar över unionens harmoniseringslagstiftning och AI-system med hög risk
2.1.12.1 Allmänt
AI-förordningens bilaga I innehåller en förteckning över unionens harmoniseringslagstiftning vilken bygger på den nya lagstiftningsramen, vilken hänvisas till i bestämmelserna om klassificeringsregler för AI-system med hög risk i artikel 6.1. AI-förordningens bilaga III innehåller en förteckning över AI-system med hög risk, vilka avses i artikel 6.2.
2.1.12.2 Bilaga I avsnitt A – Förteckning över unionens harmoniserings-lagstiftning som bygger på den nya lagstiftningsramen
1. Europaparlamentets och rådets direktiv 2006/42/EG om maskiner och om ändring av direktiv 95/16/EG
2. Europaparlamentets och rådets direktiv 2009/48/EG om leksakers säkerhet
3. Europaparlamentets och rådets direktiv 2013/53/EU om fritidsbåtar och vattenskotrar och om upphävande av direktiv 94/25/EG
4. Europaparlamentets och rådets direktiv 2014/33/EU om harmonisering av medlemsstaternas lagstiftning om hissar och säkerhetskomponenter till hissar
5. Europaparlamentets och rådets direktiv 2014/34/EU om harmonisering av medlemsstaternas lagstiftning om utrustning och skyddssystem som är avsedda för användning i potentiellt explosiva atmosfärer
6. Europaparlamentets och rådets direktiv 2014/53/EU om harmonisering av medlemsstaternas lagstiftning om tillhandahållande på marknaden av radioutrustning och om upphävande av direktiv 1999/5/EG
7. Europaparlamentets och rådets direktiv 2014/68/EU om harmonisering av medlemsstaternas lagstiftning om tillhandahållande på marknaden av tryckbärande anordningar
8. Europaparlamentets och rådets förordning (EU) 2016/424 om linbaneanläggningar och om upphävande av direktiv 2000/9/EG
9. Europaparlamentets och rådets förordning (EU) 2016/425 om personlig skyddsutrustning och om upphävande av rådets direktiv 89/686/EEG
10. Europaparlamentets och rådets förordning (EU) 2016/426 om anordningar för förbränning av gasformiga bränslen och om upphävande av direktiv 2009/142/EG
11. Europaparlamentets och rådets förordning (EU) 2017/745 om medicintekniska produkter, om ändring av direktiv 2001/83/EG, förordning (EG) nr 178/2002 och förordning (EG) nr 1223/2009 och om upphävande av rådets direktiv 90/385/EEG och 93/42/EEG
12. Europaparlamentets och rådets förordning (EU) 2017/746 om medicintekniska produkter för in vitro-diagnostik och om upphävande av direktiv 98/79/EG och kommissionens beslut 2010/227/EU (EUT L 117, 5.5.2017, s. 176).
2.1.12.3 Bilaga I avsnitt B – Förteckning över annan unionsharmonise-ringslagstiftning
13. Europaparlamentets och rådets förordning (EG) nr 300/2008 om gemensamma skyddsregler för den civila luftfarten och om upphävande av förordning (EG) nr 2320/2002
14. Europaparlamentets och rådets förordning (EU) nr 168/2013 om godkännande av och marknadstillsyn för två- och trehjuliga fordon och fyrhjulingar
15. Europaparlamentets och rådets förordning (EU) nr 167/2013 om godkännande och marknadstillsyn av jordbruks- och skogsbruksfordon
16. Europaparlamentets och rådets direktiv 2014/90/EU om marin utrustning och om upphävande av rådets direktiv 96/98/EG
17. Europaparlamentets och rådets direktiv (EU) 2016/797 om driftskompatibiliteten hos järnvägssystemet inom Europeiska unionen
18. Europaparlamentets och rådets förordning (EU) 2018/858 om godkännande av och marknadskontroll över motorfordon och släpfordon till dessa fordon samt av system, komponenter och separata tekniska enheter som är avsedda för sådana fordon, om ändring av förordningarna (EG) nr 715/2007 och (EG) nr 595/2009 samt om upphävande av direktiv 2007/46/EG
19. Europaparlamentets och rådets förordning (EU) 2019/2144 om krav för typgodkännande av motorfordon och deras släpvagnar samt de system, komponenter och separata tekniska enheter som är avsedda för sådana fordon, med avseende på deras allmänna säkerhet och skydd för personer i fordonet och oskyddade trafikanter, om ändring av Europaparlamentets och rådets förordning (EU) 2018/858 och om upphävande av Europaparlamentets och rådets förordningar (EG) nr 78/2009, (EG) nr 79/2009 och (EG) nr 661/2009 samt kommissionens förordningar (EG) nr 631/2009, (EU) nr 406/2010, (EU) nr 672/2010, (EU) nr 1003/2010, (EU) nr 1005/2010, (EU) nr 1008/2010, (EU) nr 1009/2010, (EU) nr 19/2011, (EU) nr 109/2011, (EU) nr 458/2011, (EU) nr 65/2012, (EU) nr 130/2012, (EU) nr 347/2012, (EU) nr 351/2012, (EU) nr 1230/2012 och (EU) 2015/166
20. Europaparlamentets och rådets förordning (EU) nr 2018/1139 om fastställande av gemensamma bestämmelser på det civila luftfartsområdet och inrättande av Europeiska unionens byrå för luftfartssäkerhet, och om ändring av Europaparlamentets och rådets förordningar (EG) nr 2111/2005, (EG) nr 1008/2008, (EU) nr 996/2010, (EU) nr 376/2014 och direktiv 2014/30/EU och 2014/53/EU, samt om upphävande av Europaparlamentets och rådets förordningar (EG) nr 552/2004 och (EG) nr 216/2008 och rådets förordning (EEG) nr 3922/91 (EUT L 212, 22.8.2018, s. 1), i den mån det rör sig om konstruktion, produktion och utsläppande på marknaden av luftfartyg som avses i artikel 2.1 a och b i den förordningen, när det gäller obemannade luftfartyg och deras motorer, propellrar, delar och utrustning för att kontrollera dem på distans.
2.1.12.4 Bilaga III – AI-system med hög risk som avses i artikel 6.2
AI-system med hög risk enligt artikel 6.2 är de AI-system som används inom något av följande områden:
1. Biometri, i den mån användningen är tillåten enligt relevant unionsrätt eller nationell rätt:
a. System för biometrisk fjärridentifiering.
Detta omfattar inte de AI-system som är avsedda att användas för biometrisk verifiering och vars enda syfte är att bekräfta att en viss fysisk person är den person som han eller hon påstår sig vara.
b. AI-system som är avsedda att användas för biometrisk kategorisering enligt känsliga eller skyddade attribut eller egenskaper som grundar sig på inferens av dessa attribut eller egenskaper.
c. AI-system som är avsedda att användas för känsloigenkänning.
2. Kritisk infrastruktur: AI-system som är avsedda att användas som säkerhetskomponenter i samband med förvaltning och drift av kritisk digital infrastruktur, vägtrafik eller i samband med tillhandahållande av vatten, gas, värme och el.
3. Utbildning och yrkesutbildning:
a. AI-system som är avsedda att användas för att fastställa tillgång eller antagning eller för att anvisa fysiska personer till institutioner för yrkesutbildning eller annan utbildning på alla nivåer.
b. AI-system som är avsedda att användas för att utvärdera läranderesultat, även när dessa resultat används för att styra fysiska personers lärandeprocess vid institutioner för yrkesutbildning eller annan utbildning på alla nivåer.
c. AI-system som är avsedda att användas för att bedöma den lämpliga utbildningsnivå som en person kommer att erhålla eller kommer att kunna få tillgång till, inom ramen för eller vid institutioner för yrkesutbildning eller annan utbildning på alla nivåer.
d. AI-system som är avsedda att användas för att övervaka och upptäcka förbjudet beteende bland studerande under provtillfällen inom ramen för eller vid institutioner för yrkesutbildning eller annan utbildning på alla nivåer.
4. Anställning, arbetsledning och tillgång till egenföretagande:
a. AI-system som är avsedda att användas för rekrytering eller urval av fysiska personer, särskilt för att publicera riktade platsannonser, analysera och filtrera platsansökningar och utvärdera kandidater.
b. AI-system som är avsedd att användas för att fatta beslut som påverkar villkoren för arbetsrelaterade förhållanden, befordringar och uppsägningar av arbetsrelaterade avtalsförhållanden, för uppgiftsfördelning på grundval av individuellt beteende eller personlighetsdrag eller egenskaper eller för att övervaka och utvärdera personers prestationer och beteende inom ramen för sådana förhållanden.
5. Tillgång till och åtnjutande av väsentliga privata tjänster och väsentliga offentliga tjänster och förmåner:
a. AI-system som är avsedda att användas av offentliga myndigheter eller för offentliga myndigheters räkning för att utvärdera fysiska personers rätt till väsentliga förmåner och tjänster i form av offentligt stöd, inbegripet hälso- och sjukvårdstjänster, samt för att bevilja, minska, upphäva eller återkalla sådana förmåner och tjänster.
b. AI-system som är avsedda att användas för att utvärdera fysiska personers kreditvärdighet eller fastställa deras kreditbetyg, med undantag för AI-system som används i syfte att upptäcka ekonomiska bedrägerier.
c. AI-system som är avsedda att användas för riskbedömning och prissättning i förhållande till fysiska personer när det gäller livförsäkring och sjukförsäkring.
d. AI-system som är avsedda att utvärdera och klassificera nödsamtal från fysiska personer eller användas för att sända ut eller för att fastställa prioriteringsordningen för utsändning av larmtjänster, inbegripet polis, brandkår och ambulans, samt av patientsorteringssystem för akutsjukvård.
6. Brottsbekämpning, i den mån användningen är tillåten enligt relevant unionsrätt eller nationell rätt:
a. AI-system som är avsedda att användas av brottsbekämpande myndigheter eller för deras räkning, eller av unionens institutioner, organ eller byråer till stöd för brottsbekämpande myndigheter eller för deras räkning för att bedöma risken för att en fysisk person ska falla offer för brott.
b. AI-system som är avsedda att användas som lögndetektorer eller liknande verktyg av brottsbekämpande myndigheter eller för deras räkning, eller av unionens institutioner, organ eller byråer till stöd för brottsbekämpande myndigheter.
c. AI-system som är avsedda att användas av brottsbekämpande myndigheter eller för deras räkning, eller av unionens institutioner, organ eller byråer till stöd för brottsbekämpande myndigheter för att bedöma hur pass tillförlitlig bevisningen är i samband med utredning eller lagföring av brott.
d. AI-system som är avsedda att användas av brottsbekämpande myndigheter eller för deras räkning, eller av unionens institutioner, organ eller byråer till stöd för brottsbekämpande myndigheter för att bedöma risken för att en fysisk person begår eller på nytt begår ett brott, inte enbart på grundval av profilering av fysiska personer i enlighet med artikel 3.4 i direktiv (EU) 2016/680 eller för att bedöma fysiska personers eller gruppers personlighetsdrag och egenskaper eller tidigare brottsliga beteende.
e. AI-system som är avsedda att användas av brottsbekämpande myndigheter eller för deras räkning, eller av unionens institutioner, organ eller byråer till stöd för brottsbekämpande myndigheter för profilering av fysiska personer enligt artikel 3.4 i direktiv (EU) 2016/680 vid upptäckt, utredning eller lagföring av brott.
7. Migration, asyl och gränskontrollförvaltning, i den mån användningen är tillåten enligt relevant unionsrätt eller nationell rätt:
a. AI-system som är avsedda att användas som lögndetektorer eller liknande verktyg av behöriga offentliga myndigheter eller för deras räkning, eller av unionens institutioner, organ och byråer.
b. AI-system som är avsedda att användas av behöriga offentliga myndigheter eller för deras räkning, eller av unionens institutioner, organ eller byråer för att bedöma en risk, inbegripet en säkerhetsrisk, en risk för irreguljär migration eller en hälsorisk som utgörs av en fysisk person som avser resa in på eller har rest in på en medlemsstats territorium.
c. AI-system som är avsedda att användas av behöriga offentliga myndigheter eller för deras räkning, eller av unionens institutioner, organ eller byråer för att bistå behöriga offentliga myndigheter vid prövningen av ansökningar om asyl, visering eller uppehållstillstånd och för därmed sammanhängande klagomål om huruvida de fysiska personer som ansöker om status uppfyller kraven, inbegripet relaterade bedömningar av bevisens tillförlitlighet.
d. AI-system som är avsedda att användas av behöriga offentliga myndigheter eller för deras räkning, eller av unionens institutioner, organ eller byråer, i samband med migrations-, asyl- eller gränskontrollförvaltning, i syfte att upptäcka, känna igen eller identifiera fysiska personer, med undantag för verifiering av resehandlingar.
8. Rättskipning och demokratiska processer:
a. AI-system som är avsedda att användas av en rättslig myndighet eller på dess vägnar för att hjälpa en rättslig myndighet att undersöka och tolka fakta och lagstiftning och att tillämpa lagen på konkreta fakta, eller som är avsedda att användas på ett likande sätt i alternativa tvistlösningar.
b. AI-system som är avsedda att användas för att påverka resultatet av ett val eller en folkomröstning eller fysiska personers röstningsbeteende när dessa utövar sin rätt att rösta i val eller folkomröstningar. Detta omfattar inte AI-system vars utdata fysiska personer inte är direkt exponerade för, såsom verktyg som används för att organisera, optimera eller strukturera politiska kampanjer ur administrativ eller logistisk synvinkel.
2.2 Marknadskontrollförordningen
Syftet med marknadskontrollförordningen (förordning (EU) 2019/1020 om marknadskontroll och överensstämmelse för produkter) är att minska antalet produkter vilka inte överensstämmer med kraven på den inre marknaden, stärka marknadskontrollen och förbättra den inre marknadens funktionssätt. Ett annat syfte är att skapa lika konkurrensförhållanden för alla ekonomiska aktörer.
Marknadskontrollförordningen tillämpas på produktsektorer som täcks av 70 sektorspecifika EU-varuförordningar. Dessa har listats i bilaga I till förordningen. Större delen av bestämmelserna i marknadskontrollförordningen gäller marknadskontrollmyndigheter, deras befogenheter och deras verksamhet. I förordningen återfinns även bestämmelser om förfaranden vilka gäller kontroll av de yttre gränserna samt vilka ålägger ekonomiska aktörer skyldigheter.
2.3 Genomförande lagstiftning inom marknadskontroll och unionens harmoniseringslagstiftning av betydelse för AI-förordningen
Marknadskontrollförordningen har genomförts på Åland genom kompletterande lagstiftning i form av landskapslagen (2017:37) om marknadskontrollen av vissa produkter, vilken till viss del kompletteras av lagen om marknadskontrollen av vissa produkter (FFS 1137/2016).
Direktiv 2006/42/EG om maskiner har genomförts på Åland genom landskapslagen (1988:8) om tillämpning i landskapet Åland av riksförfattningar om konsumentsäkerhet, landskapsförordningen (1995:64) om tillämpning på Åland av riksförfattningar om konsumentsäkerhet, vilken tillämpliggör statsrådets förordning om maskiners säkerhet /FFS 400/2008) på Åland.
Direktiv 2009/48/EG om leksakers säkerhet har genomförts på Åland genom landskapslagen om tillämpning i landskapet Åland av riksförfattningar om konsumentsäkerhet, vilken tillämpliggör lagen om leksakers säkerhet (FFS 1154/2011) på Åland.
Direktiv 2013/53/EU om fritidsbåtar och vattenskotrar har genomförts på Åland genom landskapslagen (2017:29) om vattenfarkoster samt landskapslagen (2017:30) om tillämpning i landskapet Åland av rikslagstiftning om säkerhet och utsläppskrav för vattenfarkoster, vilken tillämpliggör lagen om säkerhet och utsläppskrav för fritidsbåtar (FFS 1712/2015) på Åland.
Direktiv 2014/33/EU om harmonisering av medlemsstaternas lagstiftning om hissar och säkerhetskomponenter till hissar har genomförts på Åland genom landskapslag (2017:40) om tillämpning på Åland av rikets hissäkerhetslag, vilken tillämpliggör hissäkerhetslagen (FFS 1134/2016) på Åland.
Direktiv 2014/34/EU om harmonisering av medlemsstaternas lagstiftning om utrustning och skyddssystem som är avsedda för användning i potentiellt explosiva atmosfärer har delvis genomförts på Åland genom landskapslagen (2017:45) om tillämpning på Åland av lagen om överensstämmelse med kraven för utrustning och säkerhetssystem som är avsedda för användning i explosionsfarliga omgivningar, vilken tillämpliggör lagen om överensstämmelse med kraven för utrustning och säkerhetssystem som är avsedda för användning i explosionsfarliga omgivningar (FFS 1139/2016) på Åland.
Direktiv 2014/53/EU om harmonisering av medlemsstaternas lagstiftning om tillhandahållande på marknaden av radioutrustning har genomförts på Åland genom lagen om tjänster inom elektronisk kommunikation (FFS 917/2014).
Direktiv 2014/68/EU om harmonisering av medlemsstaternas lagstiftning om tillhandahållande på marknaden av tryckbärande anordningar har genomförts på Åland genom lagen om tryckbärande anordningar (FFS 1144/2016).
Förordning (EU) 2016/424 om linbaneanläggningar har genomförts på Åland genom lagen om vissa tekniska anordningars överensstämmelse med gällande krav (FFS 1016/2004), arbetarskyddslagen (FFS 738/2002) och statsrådets förordning om användning och besiktning av linbaneanläggningar (FFS 220/2018).
Förordning (EU) 2016/425 om personlig skyddsutrustning har genomförts på Åland genom landskapslag (2022:17) om tillämpning på Åland av lagen om personlig skyddsutrustning som är avsedd att användas av konsumenter, vilken tillämpliggör lagen om personlig skyddsutrustning som är avsedd att användas av konsumenter (FFS 218/2018) på Åland, samt lagen om vissa tekniska anordningars överensstämmelse med gällande krav (FFS1016/2004).
Förordning (EU) 2016/426 om anordningar för förbränning av gasformiga bränslen har genomförts på Åland genom landskapslagen (2019:64) om tillämpning på Åland av gasanordningslagen, vilken tillämpliggör gasanordningslagen (FFS 502/2018) på Åland.
Förordning (EU) 2017/745 om medicintekniska produkter har genomförts på Åland genom lagen om medicintekniska produkter (FFS 719/2021).
Förordning (EU) 2017/746 om medicintekniska produkter för in vitro-diagnostik har genomförts på Åland genom lagen om medicintekniska produkter.
Förordning (EG) nr 300/2008 om gemensamma skyddsregler för den civila luftfarten har genomförts på Åland främst genom luftfartslagen (864/2014).
Förordning (EU) nr 168/2013 om godkännande av och marknadstillsyn för två- och trehjuliga fordon och fyrhjulingar har genomförts på Åland genom landskapslagen (2021:157) om tillämpning av fordonslagen, vilken tillämpliggör fordonslagen (FFS 82/2021) på Åland.
Förordning (EU) nr 167/2013 om godkännande och marknadstillsyn av jordbruks- och skogsbruksfordon har genomförts på Åland genom landskapslagen om tillämpning av fordonslagen, vilken tillämpliggör fordonslagen på Åland.
Direktiv 2014/90/EU om marin utrustning har genomförts på Åland genom lagen om marin utrustning (FFS 1503/2011).
Direktiv (EU) 2016/797 av den 11 maj 2016 om driftskompatibiliteten hos järnvägssystemet inom Europeiska unionen har inte genomförts på Åland till följd av att Åland saknar järnväg. I riket har direktivet genomförts genom spårtrafiklag (FFS 1302/2018) och statsrådets förordning om driftskompatibiliteten hos järnvägssystemet (FFS 284/2019).
Förordning (EU) 2018/858 om godkännande av och marknadskontroll över motorfordon och släpfordon till dessa fordon samt av system, komponenter och separata tekniska enheter som är avsedda för sådana fordon har genomförts genom landskapslagen om tillämpning av fordonslagen, vilken tillämpliggör fordonslagen på Åland.
Förordning (EU) 2019/2144 om krav för typgodkännande av motorfordon och deras släpvagnar samt de system, komponenter och separata tekniska enheter som är avsedda för sådana fordon, med avseende på deras allmänna säkerhet och skydd för personer i fordonet och oskyddade trafikanter har genomförts på Åland genom vägtrafiklagen (2023:108) för Åland och landskapsförordningen (2024:21) om fordon och vägtrafik.
Förordning (EU) nr 2018/1139 om fastställande av gemensamma bestämmelser på det civila luftfartsområdet och inrättande av Europeiska unionens byrå för luftfartssäkerhet har genomförts på Åland främst genom luftfartslagen och lagen om transportservice (FFS 320/2017).
Riket har även genomfört för åländskt och AI-förordningen vidkommande kompletterande lagstiftning i lagen om konstaterande av tillförlitligheten hos tjänster för bedömning av överensstämmelse med kraven (FFS 920/2005).
I fråga om de produkter som omfattas av den harmoniseringslagstiftning som förtecknas i avsnitt A i bilaga I till AI-förordningen innehåller de produktspecifika rikslagarna och landskapslagarna även bestämmelser om utseende av organ för bedömning av överensstämmelse och anmälan av dem som anmälda organ samt behöriga myndigheter för detta, bland annat i lagen om säkerhet och utsläppskrav för fritidsbåtar, lagen om medicintekniska produkter och annan rikslagstiftning vilken på Åland i huvudsak har tillämpliggjorts genom blankettlagstiftning. På vissa av de produkter som avses i avsnitt A i bilaga I till AI-förordningen tillämpas vidare landskapslagen (2017:47) om tillämpning på Åland av lagen om anmälda organ för vissa produktgrupper (hädanefter benämnd blankettlagen om anmälda organ), vilken tillämpliggör rikets lag om anmälda organ för vissa produktgrupper (FFS 278/2016, hädanefter benämnd lagen om anmälda organ). Lagen om anmälda organ innehåller horisontella regler för vissa produktgrupper om bland annat krav på anmälda organ, behöriga myndigheter samt godkännande som anmält organ. Enligt 2 § i blankettlagen om anmälda organ är landskapsregeringen behörig myndighet att på ansökan om att godkännas som anmält organ på Åland utse organ för bedömning av överrensstämmelse och att övervaka de anmälda organ som den har godkänt.
2.4 Komparativ utblick
2.4.1 Sverige
Sveriges regering beslutade den 19 september 2024 att utse en särskild utredare med uppdrag att se över behovet av nationella anpassningar till följd av AI-förordningen. Utredningen, vilken antog namnet Utredningen om AI-förordningen, överlämnade den 6 oktober 2025 sitt betänkande: Anpassningar till AI-förordningen - Säker användning, effektiv kontroll och stöd för innovation, SOU 2025:101. Den föreslagna regleringen förslogs träda i kraft den 2 augusti 2026.
Utredningen föreslog att de svenska bestämmelser vilka behöver komplettera AI-förordningen huvudsakligen ska samlas i en ny lag och en ny förordning. Utredningen föreslog ett system för marknadsövervakning, marknadskontroll, styrning och kontroll av efterlevnad vilket består av elva marknadskontrollmyndigheter och två anmälande myndigheter. Vidare föreslog utredningen att Post- och telestyrelsen ska få ett huvudsakligt ansvar för marknadskontroll enligt AI-förordningen.
Utredningen lade även fram förslag på bestämmelser om sanktioner och ingripanden samt bestämmelser om vissa innovationsfrämjande åtgärder, bland annat om regulatoriska sandlådor för AI. Post- och telestyrelsen föreslogs inrätta en sådan regulatorisk sandlåda.
Utredningen gjorde även bedömningen att det behövs kompletterande bestämmelser om sekretess, tystnadsplikt, uppgiftsskyldighet och sekretessbrytande bestämmelser.
2.4.2 Finland
Statsrådets arbets- och näringsministerium tillsatte den 25 april 2024 en arbetsgrupp för att bereda genomförandet av AI-förordningen i Finland. Arbetsgruppen har till uppgift att bedöma vilken nationell lagstiftning AI-förordningen förutsätter samt att bereda ett förslag till lagstiftning om det nationella genomförandet av AI-förordningen. Arbetsgruppens arbete har delats upp i två faser, varav fas I har varit inriktad på att genomföra AI-förordningens bestämmelser om utpekande av tillsynsmyndigheter samt uppgifter för dessa och fas II har varit inriktad på att utpeka myndighetsansvar för inrättande av regulatoriska sandlådor, inrättande av registrering av AI-system med hög risk i anslutning till kritisk infrastruktur och andra behövliga bestämmelser. Arbetsgruppen har utarbetat sina betänkanden i form av två regeringspropositioner, varav den ena har färdigbehandlats i riksdagen under slutet av 2025 och den andra har varit föremål för remiss under våren 2025.
Regeringspropositionen för fas I i AI-förordningens genomförande i riket, Regeringens proposition till riksdagen med förslag till lagstiftning som kompletterar EU:s förordning om artificiell intelligens, RP 46/2025 rd, överlämnades till riksdagen den 8 maj 2025. I propositionen föreslogs det att det stiftas en ny lag om tillsyn över vissa system för artificiell intelligens (FFS 1377/2025), att lagen om marknadskontrollen av vissa produkter (FFS 1137/2016, hädanefter benämnd rikets marknadskontrollag) ändras och att följdändringar sker i lagen om Finansinspektionen (FFS 878/2008), lagen om Energimyndigheten (FFS 870/2013) och lagen om verkställighet av böter (FFS 672/2002).
I den genom propositionen föreslagna lagen om tillsyn över vissa system för artificiell intelligens utses de nationella behöriga myndigheterna samt ingår det bestämmelser om myndigheternas behörighet att bestämma administrativa påföljdsavgifter för överträdelser eller underlåtelser i förhållande till specifika skyldigheter för operatörer enligt AI-förordningen och om en påföljdsavgiftsnämnd med behörighet att påföra påföljdsavgifter för de allvarligaste överträdelserna och underlåtelserna. Enligt förslaget skulle vidare tillsynen på området, i enlighet med AI-förordningens föreskrifter, ingå inom ramen för marknadskontrollen. Den nya lagen skulle därmed få sitt materiella innehåll för avseende tillsynen ifrån marknadskontrollförordningen och den nationella lagstiftningen om marknadskontroll, det vill säga lagen om marknadskontrollen av vissa produkter och annan speciallagstiftning, vilken genomför unionsrättslig harmoniseringslagstiftning på området. Den nya lagen och de behöriga myndigheternas uppgifter enligt AI-förordningen föreslogs därför att även läggas till i tillämpningsområdet för lagen om marknadskontrollen av vissa produkter.
Regeringspropositionen remitterades till ekonomiutskottet och grundlagsutskottet, kommunikationsutskottet samt kulturutskottet ålades att lämna utlåtanden till detsamma. Propositionen kritiserades i grundlagsutskottet, se dess utlåtande GrUU 33/2025 rd, vilket bland annat menade att bestämmelserna om marknadskontrollmyndigheternas möjlighet att vid sidan av den påföljdsavgiftsnämnd vilken lagen införde kunde påföra administrativa påföljdsavgifter, samt regleringen om påförandet av dessa, inte fullt ut kunde anses uppfylla de krav på exakthet och noggrann avgränsning som uppställs i utskottets utlåtandepraxis, eftersom utskottet fann de vara exceptionellt komplicerade och svårbegripliga. Grundlagsutskottet anförde därför att lagförslaget bara kan behandlas i vanlig lagstiftningsordning om utskottets konstitutionella anmärkningar till bestämmelserna om påföljdsavgifter beaktas på behörigt sätt. Ekonomiutskottet lämnade slutligen sitt betänkande vilket medförde omfattande ändringar av bestämmelserna om påföljdsavgiftsnämnden och administrativa påföljdsavgifter. Riksdagen antog den 12 december 2025 propositionen för fas I i enlighet med ekonomiutskottets betänkande och beslutade att den nya lagen om tillsyn över vissa system för artificiell intelligens skulle träda i kraft den 1 januari 2026.
Enligt den nya lagen och ändringen av rikets marknadskontrollag utgör Transport- och kommunikationsverket Finlands gemensamma kontaktpunkt enligt artikel 70.2 i AI-förordningen. Transport- och kommunikationsverket, Tullen, Säkerhets- och kemikalieverket, Tillstånds- och tillsynsverket, Säkerhets- och utvecklingscentret för läkemedelsområdet, Energimyndigheten, Dataombudsmannen och Finansinspektionen utsågs till marknadskontrollmyndigheter över AI-system med hög risk enligt artikel 6.1 i AI-förordningen. Dataombudsmannen utsågs till marknadskontrollmyndighet med tillsyn över att bestämmelserna om förbjudna användningsområden för AI enligt artikel 5 i AI-förordningen iakttas. Transport- och kommunikationsverket utsågs även till marknadskontrollmyndighet med tillsyn över att transparensskyldigheterna enligt artikel 50 i AI-förordningen iakttas, med vissa undantag. Finansinspektionen utsågs till den myndighet vilken enligt artikel 74.7 andra stycket i AI-förordningen ska rapportera information till Europeiska centralbanken. I regeringspropositionen motiverades tillsynsmodellen utifrån att alla myndigheterna redan innan var marknadskontrollmyndigheter och att sakkunskap inom respektive område bedömdes viktigare för marknadskontrollen än AI-kunnighet.
I den ny lagen utses vidare arbets- och näringsministeriet, Transport- och kommunikationsverket, Säkerhets- och utvecklingscentret för läkemedelsområdet och social- och hälsovårdsministeriet till anmälande myndigheter enligt artikel 28.1 i AI-förordningen. Ackrediteringstjänsten vid Säkerhets- och kemikalieverkets ackrediteringsenhet ålades uppgiften att utfärda ett ackrediteringsintyg vilka visar att organet för bedömning av överensstämmelse uppfyller kraven i artikel 31 i AI-förordningen. Dataombudsmannen utsågs vidare till anmält organ om brottsbekämpande myndigheter, migrationsmyndigheter eller asylmyndigheter tar i bruk AI-system med hög risk. I regeringspropositionen motiverades utseendet av de uppräknade myndigheterna med att de sedan tidigare skötte uppgifter som anmälda organ i fråga om produkter vilka omfattas av unionens relevanta harmoniseringslagstiftning enligt AI-förordningen.
I regeringspropositionen bedömdes behovet av ny AI-kunnighet inom anvisade myndigheter dock avsevärt. Det uppskattade tillkommande resursbehovet för myndigheterna till följd av de nya uppgifterna och behovet av ny AI-kunnighet uppgick till sammanlagt 44,5 årsverken och 825 000 euro för andra kostnader, det vill säga sammanlagt cirka 4,8 miljoner euro per år när verksamheten är i full gång. Därutöver uppskattades det att i den fas då förmågan byggs upp uppstod ytterligare en engångskostnad om 1,5 årsverken och 1,76 miljoner euro, det vill säga sammanlagt 1,9 miljoner euro under det första året. Den gemensamma kontaktpunktens, det vill säga Transport- och kommunikationsverkets, expertroll bedömdes i sammanhanget central för att dämpa trycket på att allokera resurser till djupgående AI-kunnighet hos olika myndigheter. Dessutom framhölls att om myndigheterna anvisas tillräckliga resurser för effektiv rådgivning och handledning i initialfasen kan detta minska behovet av marknadskontrollåtgärder i efterhand. Den nuvarande utmanande situationen när det gäller myndigheternas resurser i riket ansågs dock inte skapa tillräckliga förutsättningar för proaktiv verksamhet.
Ett utkast till regeringspropositionen för fas II i AI-genomförandet var föremål för ett remissförfarande vilket avslutades den 2 juni 2025. I propositionsutkastet föreslås bestämmelser om inrättande av en regulatorisk sandlåda för AI nationellt, anmälan av AI-system för hög risk för användning inom kritisk infrastruktur och myndighetsuppgifter och förfaranden i samband med detta. Transport- och kommunikationsverket har enligt förslaget som uppgift att inrätta en regulatorisk sandlåda för AI, administrera verksamheten och ansvara för det kringliggande samarbetet med andra behöriga myndigheter. Dessutom föreslås det uppgifter för de behöriga marknadskontrollmyndigheterna och andra behöriga myndigheter i anslutning till den regulatoriska sandlådan för AI. Propositionsutkastet innehåller också bestämmelser om vissa andra förfaranden som gäller den regulatoriska sandlådan för AI, vilka behövs för att organisera verksamheten i samband med den, såsom myndigheternas rätt att lämna ut information, personuppgiftsbehandling i samband med verksamheten och de avgifter som får tas ut för den. I propositionsutkastet föreslås vidare bestämmelser om den nationella anmälningsskyldigheten när det gäller system för AI med hög risk vilka har anknytning till kritisk infrastruktur. Varje behörig marknadskontrollmyndighet svarar inom sitt ansvarsområde för anmälningsförfarandena i fråga om system för AI vilka hör till deras tillsynsområde. Dessutom föreslås det bestämmelser om de behöriga marknadskontrollmyndigheternas uppgift att ansvara för testningen av system för AI under verkliga förhållanden utanför den regulatoriska sandlådan samt för förfarandet för beviljande av tillstånd i fråga om biometrisk fjärridentifiering i efterhand inom de brottsbekämpande myndigheternas verksamhet.
Vid dialog med tjänstemän ur rikets arbetsgrupp för genomförandet av fas II i riket har landskapsregeringen erfarit att riket överväger att göra anpassningar av utkastet till regeringsproposition för fas II i AI-förordningens genomförande i riket, vilka syftar till att beakta det åländska genomförandet av AI-förordningen.
Statsrådet planerar preliminärt att överlämna regeringspropositionen för fas II i AI-förordningens genomförande i riket under augusti 2026.
2.5 Sammanfattande bedömning
Landskapsregeringen bedömer att Åland måste genomföra de delar av AI-förordningen vilka förutsätter nationellt genomförande, till den del som AI-förordningen reglerar AI inom rättsområden vilka faller in under Ålands lagstiftningsbehörighet. Det åländska genomförandet kommer dock på Åland att kompletteras av rikets, till den del som AI-förordningen reglerar AI inom rättsområden vilka faller in under rikets lagstiftningsbehörighet, samt till den del som riket har ensamrätt att vidta åtgärder enligt unionsrätten, i enlighet med 59b § 1 och 2 mom. i självstyrelselagen.
Landskapsregeringen bedömer att Åland, till följd av den exceptionellt svårbegripliga genomförandelagstiftning vilken riket har föreslagit och antagit på området, samt med hänvisning till Ålands särskilda myndighetsstruktur, att landskapet bäst tjänas av antagandet av en egen lag om tillsyn över artificiell intelligens. En åländsk genomförandelagstiftning ska därmed utpeka och reglera marknadskontrollen på AI-området, utpeka anmälande myndighet, inför en påföljdsavgiftsnämnd med uppgift att påföra administrativa sanktionsavgifter, reglera myndighetssamråd och samarbete, informationsutbyte och regulatoriska sandlådor samt testning av AI-system under verkliga förhållanden.
Landskapsregeringen bedömer vidare att Åland, till följd av sina särskilda förhållanden, bäst tjänas av att genomförandelagstiftningen läggs på en miniminivå och att det nationella handlingsutrymmet nyttjas fullt ut i detta avseende.
Landskapsregeringen förordar vidare en tillsynsmodell, annan än den som har inrättats i såväl riket som i Sverige, enligt vilken myndighetsansvaren i direktiven i största möjliga mån koncentreras till en och samma centrala myndighet på Åland, i detta fall landskapsregeringen, vars myndighetsuppdrag i praktiken bör falla på dess digitaliseringsenhet. Landskapsregeringen förordar dock att ett begränsat avsteg görs från denna princip, genom att Datainspektionen ges uppdraget marknadskontrollmyndighet i förhållande till vissa AI-system med hög risk inom delar av området biometri, i den mån de används till brottsbekämpande ändamål, rättvisa eller demokrati, samt AI-system inom områdena brottsbekämpning samt rättskipning och demokratiska processer, till följd av att AI-förordningen förutsätter detta.
Landskapsregeringen har i utlåtanden och i den fortsatta dialogen avseende rikets genomförande av AI-förordningen uppgivit att Åland inte avser att inrätta en egen regulatorisk sandlåda, utan vill ingå i den kommande allmänna regulatoriska sandlådan för Finland. Landskapsregeringen bedömer fortsatt att detta skulle tjäna Åland och berörda operatörer bäst utifrån landskapets begränsade resursmässiga förutsättningar. Landskapsregeringen bedömer att inrättandet av en gemensam regulatorisk sandlåda med riket eller att tillgång säkras för åländska operatörer till den finländska allmänna regulatoriska sandlådan förutsätter reglering i överenskommelseförordning.
Landskapsregeringen bedömer slutligen att det är lämpligast att det åländska genomförandet av regleringen av regulatoriska sandlådor för AI inväntar den fortsatta dialogen med rikets arbetsgrupp för fas II i rikets genomförande av AI-förordningen och rikets regeringsproposition för fas II, vilken avses införa reglering i riket om inrättande av en nationell regulatorisk sandlåda. Det åländska genomförandet av AI-förordningen delas därmed också upp i två faser likt i riket, varav detta lagförslag utgör genomförandet av fas I.
3. Landskapsregeringens förslag och syften
Landskapsregeringen föreslår att det antas en ny allmän landskapslag om tillsyn över artificiell intelligens. Genom den föreslagna lagen genomförs kompletterande nationella bestämmelser av AI-förordningen på Åland, vilka även till viss del kompletteras av rikets genomförandelagstiftning. Syftet med genomförandet är att ge berörda verksamhetsutövare och tillsynsmyndigheterna ett samlat, tydligt och enhetligt regelverk att förhålla sig till, vilket förväntas främja regleringens genomslag, en enhetlig tillämpning och en effektiv tillsyn och efterlevnadskontroll.
Den föreslagna lagens tillämpningsområde är i enlighet med artikel 2 i AI-förordningen. Lagen föreslås dock enbart tillämpas i den utsträckning som AI-förordningens tillämpningsområde faller inom ramen för landskapets lagstiftningsbehörighet och ska inte tillämpas på lagtinget eller till detta ansluten förvaltning.
I enlighet med den föreslagna lagens kapitelindelning föreskrivs i lagen om allmänna bestämmelser, tillsynsmyndigheter, anmälande myndigheter och anmälda organ, anmälan för vissa AI-system med hög risk, tillsyn och efterlevnadskontroll samt särskilda bestämmelser.
Den föreslagna lagens 1 kap. föreskriver dess allmänna bestämmelser. I kapitlet anges lagens tillämpningsområde, förhållande till annan lagstiftning och en bestämmelse om att ord och uttryck i lagen ska definieras på samma sätt som de gör i AI-förordningen.
I den föreslagna lagens 2 kap. föreskrivs om tillsynsmyndigheter. I kapitlet utses landskapsregeringen och Datainspektionen till tillsynsmyndigheter och deras respektive ansvarsområde och uppgifter definieras.
I den föreslagna lagens 3 kap. föreskrivs om anmälande myndighet och anmälda organ. I kapitlet utses landskapsregeringen till anmälande myndighet och dess uppgifter och befogenheter definieras samt regleras hur anmälda organ utses och vissa ansvarsbestämmelser kopplade till de offentliga förvaltningsuppgifter vilka åläggs anmälda organ enligt AI-förordningen.
I den föreslagna lagens 4 kap. föreskrivs om anmälan för vissa AI-system med hög risk. I kapitlet återfinns bestämmelser om anmälningsskyldighet avseende information för AI-system med hög risk som används inom kritisk infrastruktur, information som ska anmälas, förordningsbemyndigande, sekretessbestämmelse, rätt att utlämna information och avgifter.
I den föreslagna lagens 5 kap. föreskrivs närmare om tillsyn och efterlevnadskontroll samt sanktioner. I kapitlet återfinns bestämmelser om befogenheter vid tillsyn och efterlevnadskontroll inom ramen för marknadskontrollen, åländsk, nationellt och europeiskt myndighetssamråd och samarbete, rätt att utlämna information till behöriga myndigheter på Åland och i riket och andra medlemsstater inom Europeiska unionen, vite och hot om tvångsutförande, inrättandet av en påföljdsavgiftsnämnd, påförande av administrativ påföljdsavgift och verkställighet av påföljdsavgift.
I den föreslagna lagens 6 kap. föreskrivs om särskilda bestämmelser. I kapitlet återfinns bestämmelser om leverantörers och ombuds skyldighet att tillse att handlingar bevaras, ändringssökande och ikraftträdande.
Landskapsregeringen föreslår vidare att det antas en landskapslag om ändring av landskapslagen om marknadskontrollen av vissa produkter. Enligt lagförslaget införs nya moment och punkter i 1 och 4 kap. vilka tillämpliggör marknadskontrollagens bestämmelser på den nya lagen om tillsyn över artificiell intelligens samt tydliggör landskapsregeringen och Datainspektionens roller som tillsynsmyndigheter över AI inom ramen för marknadskontrollregleringen.
Lagarna föreslås träda i kraft så snart det är möjligt.
4. Lagstiftningsbehörighet
4.1 Allmänt
Enligt 1 § i självstyrelselagen har Åland självstyrelse enligt vad som särskilt föreskrivs i självstyrelselagen. Enligt 59b § 1 mom. i självstyrelselagen är lagstiftningsbehörigheten och behörigheten i förvaltningsärenden, när åtgärder vidtas i Finland med anledning av beslut vilka har fattats inom Europeiska unionen, fördelad mellan landskapet och riket på det sätt som följer av självstyrelselagen.
Enligt 18 § 1, 2, 4, 6, 7, 12-15, 21, 22 och 25-27 punkterna i självstyrelselagen har landskapet bland annat lagstiftningsbehörighet i fråga om lagtingets organisation och uppgifter; val av lagtingets ledamöter, landskapsregeringen och under denna lydande myndigheter och inrättningar, landskapets tjänstemän, tjänstekollektivavtal för landskapets anställda, kommunala val, kommunernas förvaltning, allmän ordning och säkerhet med de undantag som nämns i 27 § 27, 34 och 35 punkterna, brand- och räddningsväsendet, byggnadsväsendet, hälso- och sjukvård, med de undantag som stadgas i 27 § 24, 29 och 30 punkterna, socialvård, undervisning, jord- och skogsbruk, vägtrafik, spårbunden trafik, båttrafik, näringsverksamhet med beaktande av vad som stadgas i 11 §, 27 § 2, 4, 9, 12-15, 17-19, 26, 27, 29-34, 37 och 40 punkterna samt 29 § 1 mom. 3–5 punkterna, beläggande med straff och storleken av straff inom rättsområden som hör till landskapets lagstiftningsbehörighet, utsättande och utdömande av vite samt användning av andra tvångsmedel inom rättsområden som hör till landskapets lagstiftningsbehörighet samt övriga angelägenheter som enligt grundsatserna i självstyrelselagen ska hänföras till landskapets lagstiftningsbehörighet.
Enligt 27 § 1-4, 8, 10, 12-14, 19, 21-24, 26, 29, 30, 34, 35, och 40 punkterna självstyrelselagen har riket bland annat lagstiftningsbehörighet i fråga om stiftande, ändring och upphävande av grundlag samt avvikelse från grundlag, rätt att vistas i landet, statsmyndigheternas organisation och verksamhet, förhållandet till utländska makter med beaktande av bestämmelserna i 9 och 9 a kap., föreningar och stiftelser, bolag och andra privaträttsliga sammanslutningar, konsumentskydd, utrikeshandeln, handelssjöfart, luftfart, måttenheter, mätredskap och mätmetoder, standardisering, arbetsrätt med undantag av tjänstekollektivavtal för landskapets och kommunernas anställda och med beaktande av vad som stadgas i 29 § 1 mom. 6 punkten och 29 § 2 mom., straffrätt, rättsskipning med beaktande av vad som stadgas i 25 och 26 §§; förundersökning, verkställighet av domar och straff samt utlämning för brott, administrativa ingrepp i den personliga friheten, utlänningslagstiftning, smittsamma sjukdomar hos människor, mediciner och produkter av läkemedelstyp, gränsbevakningen, ordningsmaktens verksamhet för tryggande av statens säkerhet, beredskap inför undantagsförhållanden, explosiva ämnen till den del rikets säkerhet berörs, televäsendet, andra än i paragrafen särskilt nämnda privaträttsliga angelägenheter, om de inte direkt hänför sig till ett rättsområde som enligt självstyrelselagen hör till landskapets lagstiftningsbehörighet samt övriga angelägenheter som enligt grundsatserna i denna lag skall hänföras till rikets lagstiftningsbehörighet. Enligt 29 § 1 mom. 3, 5 och 6 punkterna i självstyrelselagen har riket även lagstiftningsbehörighet i fråga om socialförsäkring, bank- och kreditväsendet samt arbetsavtal.
Landskapsregeringen bedömer att AI-förordningens reglering av AI-system och AI-modeller huvudsakligen är att betrakta som reglering om produktsäkerhet och konsumentsäkerhet, vilka faller inom ramen för landskapets lagstiftningsbehörighet över landskapets offentliga förvaltning respektive näringsverksamhet enligt 18 § 1, 4 och 22 punkterna i självstyrelselagen.
AI-förordningens reglering har vidare en tät anknytning till andra underordnade rättsområden, det vill säga rättsområden vilka inte uttryckligen har upptagits i självstyrelselagen, vilka har ansetts tillfalla landskapet respektive riket, i den mån de har lagstiftningsbehörighet över verksamhet vilken faller inom ramen för andra rättsområden enligt självstyrelselagen. Det handlar bland annat om dataskydd, informationssäkerhet, cybersäkerhet, dataförvaltning, öppna data och motståndskraft. Landskapsregeringen bedömer att regleringen av AI bör betraktas på samma sätt och att lagstiftningsbehörigheten över denna därmed ska anses delad mellan landskapet och riket.
Landskapet bör därmed anses ha lagstiftningsbehörigheten över regleringsobjekten i AI-förordningen till den del som dessa faller inom ramen för landskapets lagstiftningsbehörighet.
Lagförslaget innehåller enstaka bestämmelser av rikslagstiftningsnatur vilka i sak överensstämmer med motsvarande bestämmelser i rikslag och vilka har upptagits i den föreslagna lagen för vinnande av enhetlighet och överskådlighet i enlighet med 19 § 3 mom. i självstyrelselagen.
4.2 Närmare om lagstiftningsbehörigheten i vissa särskilda fall
Den i AI-förordningens bilaga I förtecknade harmoniseringslagstiftningen faller i huvudsak under landskapets lagstiftningsbehörighet och har följaktligen redan genomförts i tillämpliga delar i landskapslagstiftning, med följande undantag, vilka faller under rikets lagstiftningsbehörighet:
- Direktiv 2006/42/EG om maskiner, till den del det reglerar arbetsrätt, enligt 27 § 21 punkten i självstyrelselagen.
- Direktiv 2013/53/EU om fritidsbåtar och vattenskotrar, till den del som det reglerar standardisering, enligt 27 § 19 punkten i självstyrelselagen.
- Direktiv 2014/34/EU om harmonisering av medlemsstaternas lagstiftning om utrustning och skyddssystem som är avsedda för användning i potentiellt explosiva atmosfärer, till den del som det standardisering, enligt 27 § 19 punkten i självstyrelselagen.
- Direktiv 2014/53/EU om harmonisering av medlemsstaternas lagstiftning om tillhandahållande på marknaden av radioutrustning, till följd av att det reglerar televäsendet, enligt 27 § 40 punkten i självstyrelselagen.
- Direktiv 2014/68/EU om harmonisering av medlemsstaternas lagstiftning om tillhandahållande på marknaden av tryckbärande anordningar, till följd av att det reglerar standardisering, enligt 27 § 19 punkten i självstyrelselagen.
- Förordning (EU) 2016/425 om personlig skyddsutrustning, till den del det reglerar arbetsrätt, enligt 27 § 21 punkten i självstyrelselagen.
- Förordning (EU) 2017/745 om medicintekniska produkter, till följd av att den närmast reglerar produkter av läkemedelstyp, enligt 27 § 30 punkten i självstyrelselagen.
- Förordning (EU) 2017/746 om medicintekniska produkter för in vitro-diagnostik, till följd av att den närmast reglerar produkter av läkemedelstyp, enligt 27 § 30 punkten i självstyrelselagen.
- Förordning (EG) nr 300/2008 om gemensamma skyddsregler för den civila luftfarten, till följd av att den reglerar luftfart, enligt 27 § 14 punkten i självstyrelselagen.
- Direktiv 2014/90/EU om marin utrustning, till följd av att det reglerar arbetsrätt och handelssjöfart, enligt 27 § 13 och 21 punkterna i självstyrelselagen.
- Förordning (EU) nr 2018/1139 om fastställande av gemensamma bestämmelser på det civila luftfartsområdet och inrättande av Europeiska unionens byrå för luftfartssäkerhet, till följd av att den reglerar luftfart, enligt 27 § 14 punkten i självstyrelselagen.
Den i AI-förordningens bilaga III förtecknade användningsområdena vilka ska föranleda att ett AI-system ska anses ha hög risk faller i huvudsak under landskapets lagstiftningsbehörighet, med följande undantag, vilka faller under rikets lagstiftningsbehörighet:
- Anställning, arbetsledning och tillgång till egenföretagande: till den del som användningen faller inom ramen för rikets lagstiftningsbehörighet över arbetsrätt och arbetsavtal, enligt 27 § 21 punkten och 29 § 1 mom. 6 punkten i självstyrelselagen.
- Tillgång till och åtnjutande av väsentliga privata tjänster och väsentliga offentliga tjänster och förmåner: till den del som användningen faller inom ramen för rikets lagstiftningsbehörighet över försäkringsavtal och socialförsäkring, enligt 27 § 11 punkten och 29 § 1 mom. 3 punkten i självstyrelselagen.
- Brottsbekämpning: till den del som användningen faller inom ramen för rikets lagstiftningsbehörighet över rättsskipning och förundersökning, enligt 27 § 23 punkten i självstyrelselagen.
- Migration, asyl och gränskontrollförvaltning: till den del som användningen faller inom ramen för rikets lagstiftningsbehörighet över rätt att vistats i landet, utlänningslagstiftning, gränsbevakningen och ordningsmaktens verksamhet för tryggande av statens säkerhet, enligt 27 § 2, 26 och 34 punkterna i självstyrelselagen.
- Rättsskipning: till den del som användningen faller inom ramen för rikets lagstiftningsbehörighet över rättsskipning enligt 27 § 23 punkten i självstyrelselagen.
4.3 Lagförslagets förhållande till den särskilda förvaltningsbehörig-heten i vissa ärenden
Enligt 59b § 2 mom. i självstyrelselagen ska rikets myndigheter, i samråd med landskapets myndigheter, vidta åtgärder i ett förvaltningsärende där unionsrätten endast tillåter att en nationell åtgärd kan vidtas när behörigheten är delad mellan landskapet och riket. Detta föranleder att lagförslaget bland annat inte innehåller bestämmelser om vidtagande av åtgärder som tillåtande av biometrisk fjärridentifiering i efterhand.
Enligt 59b § 3 mom. i självstyrelselagen ska riket utse en förvaltningsmyndighet om unionsrätten föreskriver att endast en nationell sådan ska utses. Detta föranleder att lagförslaget inte innehåller någon bestämmelse om utpekande av gemensam kontaktpunkt samt de särskilda befogenheter och skyldigheter vilka åläggs eller ska åläggas denna enligt AI-förordningen.
Enligt 59b § 4 mom. i självstyrelselagen har landskapsregeringen rätt att stå i kontakt med kommissionen i ärenden vilka hör till landskapets behörighet och vilka gäller verkställighet i landskapet av beslut vilka har fattats inom Europeiska unionen. Landskapsregeringen och statsrådet kommer närmare överens om hur statsrådet ska informeras om sådana kontakter. Detta föranleder att lagförslaget innehåller bestämmelser om skyldigheter för landskapsregeringen att, i de fallen detta inte förväntas ske genom andra i förordningen särskilt utpekade myndigheter, stå i direkt kontakt med kommissionen, med informering till statsrådet på det sätt som landskapsregeringen och statsrådet närmare kommer överens om. Landskapsregeringen kan konstatera att det inom olika rättsområden i praxis har utvecklats ett flertal olika förfaringssätt för informeringen till statsrådet samt om vad och i vilken omfattning denna ska ske.
Landskapsregeringen har vidare utvecklat en mångårig praxis av att inom ramen för Europeiska unionen direkt samarbeta och samråda med dess institutioner, organ och byråer samt att ingå i och aktivt delta i dess inrättade samarbetsgruppers och -nätverks arbete (dessa organ kan även samlat benämnas Europeiska unionens samarbetsorgan), inkluderande andra medlemsstaters nationella behöriga myndigheter. Detta sker inom ett flertal rättsområden, vilka faller inom ramen för landskapets lagstiftnings- och förvaltningsbehörighet och överstatligt har reglerats inom Europeiska unionen, och utgör en direkt förutsättning för att landskapet fullgott ska kunna sköta sina uppgifter inom ramen för sin förvaltningsbehörighet. Landskapsregeringen anser att detta förfarande står i överensstämmelse med de principer vilka kommer till uttryck i självstyrelselagen.
Ålandsdelegationen har tidigare inom ramen för lagstiftningskontrollen, se dess ÅD 22/25, bedömt att ömsesidigt bistånd vilket rör samarbete och utförande av förvaltningsuppgifter mellan behöriga myndigheter på Åland och de i andra medlemsstater inte rör sig om förhållandet till utländska makter enligt 27 § 4 punkten i självstyrelselagen. Det ansågs slutligen inte heller finnas något hinder för att bestämmelser i landskapslag föreskrev att Ålands behöriga myndigheter skulle ingå i relevanta nätverk och samarbetsgrupper för behöriga myndigheter på unionsnivå.
5. Förslagets verkningar
5.1 Allmänt
Lagförslaget förväntas tillsammans med AI-förordningen att leda till att utvecklingen och användningen av säkra och tillförlitliga system och modeller för AI ökar, såväl inom den offentliga som privata sektorn, samtidigt som medborgarnas hälsa och säkerhet, samt respekt för de grundläggande rättigheterna säkerställs. Detta samtidigt som utvecklingen och förekomsten av osäkra och farliga AI-system och AI-modeller med negativa samhällseffekter stävjas.
Lagförslaget innebär tillsammans med AI-förordningen vidare att nya uppgifter och skyldigheter påförs såväl myndigheter som offentliga och enskilda verksamhetsutövare inom AI, så kallade operatörer, vilka är leverantörer, tillhandahållare, importörer, distributörer, produkttillverkare, ombud eller berörda personer för AI-system och AI-modeller. De nya kraven i AI-förordningen om transparens och riskhantering kan bland annat förväntas leda till ökad administration och ökat efterlevnadsarbete för operatörer, i den mån de redan använder eller avser att börja använda AI-system och AI-modeller i sin verksamhet.
Lagförslaget förväntas tillsammans med AI-förordningen yttermera medföra en ökad efterfrågan på kompetens och utbildning om AI ifrån operatörer samt ytterligare stöd och tjänster till stöd för deras arbete med regelefterlevnad och innovation.
Lagförslaget förväntas tillsammans med AI-förordningen dock gynna små- och medelstora företag genom olika former av stöd för innovation.
5.2 Ekonomiska verkningar
Lagförslaget förväntas tillsammans med AI-förordningen leda till att de totala samhällskostnaderna, vilka orsakas av negativa följdeffekter av nyttjande av oreglerade AI-system och AI-modeller, minskar.
Lagförslaget förväntas även tillsammans med AI-förordningen leda till ökade administrativa och efterlevnadsrelaterade kostnader för myndigheter vilka tilldelas nya myndighetsuppgifter samt för operatörer vilka utvecklar, levererar eller använder AI-system och AI-modeller i sina verksamheter.
Lagförslaget förväntas därmed tillsammans med AI-förordningen föranleda att operatörer, beroende på naturen av deras verksamhet, får ökade kostnader till följd av tillkommande arbete syftande till att säkerställa efterlevnad av de nya skyldigheterna och kraven. De nya åläggandena inbegriper bland annat krav på genomförande av riskbedömningar, konsekvensanalyser, utbildning, kommunikation till användare samt åtgärder kopplade till tillsyn av operatörerna. För små och medelstora operatörer kan dock de nya kraven innebära en proportionellt större ekonomisk utmaning i förhållande till deras mer begränsade resurser.
Lagförslaget förväntas samtidigt tillsammans med AI-förordningen främja utvecklingen, användningen och spridningen av en mer säker och etiskt hållbar AI, på den inre marknaden i synnerhet men även på världsmarknaden i allmänhet, vilket i sig utgör en möjlighet till ökad tillväxt och konkurrenskraft för åländska som andra europeiska operatörer, vilket kan komma att medföra ekonomiskt gynnsamma konsekvenser för de åländska företagen vilka erbjuder tjänster och produkter på området.
5.3 Verkningar för myndigheterna
Som ovan har konstaterats medför lagförslaget att tillsynsmyndigheter utpekas och åläggs nya uppgifter och skyldigheter, främst avseende området för tillsyn och efterlevnadskontroll. Lagförslagets utpekande av landskapsregeringen som huvudsaklig tillsynsmyndighet och anmälande myndighet medför ett ökat behov av kompetens och resurstillskott i förhållande till nuläget. De nya uppgifter som landskapsregeringen påförs förutsätter tillgång till specialistkompetens inom AI samt allmän kompetens och resurser om tillsyn och efterlevnadskontroll. Därutöver tillkommer ett behov av för AI-området ändamålsenliga arbetsmetoder, arbetsverktyg och utrustning samt tekniska hjälpmedel för den löpande skötseln av myndighetens nya uppgifter och dess tillsynsuppdrag.
I dagsläget återfinns landskapsregeringens kompetens inom AI vid landskapsregeringens digitaliseringsenhet, men särskilt utpekade personalresurser och nödvändiga tekniska hjälpmedel för de i lagförslaget tillkommande myndighetsuppgifterna saknas. Landskapsregeringens kompetens inom AI är vidare bristfällig och på intet sätt heltäckande samt återfinns främst hos enskilda tjänstemän, vilka i huvudsak är upptagna med andra arbetsuppgifter. Lagförslagets praktiska genomförande förutsätter därmed att landskapsregeringen tillförs ytterligare resurser i form av nya årsverken och ekonomiska medel, de senare främst för upphandling av nya arbetsverktyg, licenser till dessa och utbildning.
Landskapsregeringens digitaliseringsenhet förväntas genom lagstiftningen påföras uppgifter motsvarande åtminstone ett nytt årsverke över tid. En tjänst bedöms behöva inrättas för att tillföra landskapsregeringen nödvändig djup sakkunskap inom AI. Den årliga kostnaden för årsverket beräknas utifrån 2026 års löneklasser till ett maximalt totalbelopp om ungefär 90 000 euro per år. Därtill förväntas digitaliseringsenheten få ökade utgifter om ungefär 60 000 euro för upphandling av nya arbetsverktyg och licenser till dessa till följd av landskapsregeringens ålagda myndighetsuppdrag samt ungefär 60 000 euro för framtagandet av nya arbetsrutiner och arbetsprocesser samt dokumentation av dessa för landskapsregeringens eget arbete med att tillgodogöra sig nyttan av AI-system och AI-modeller i sin egen verksamhet. Dessa totala uppskattade kostnadsökningar om ungefär 210 000 euro under det första året, följda av en årlig kostnad om ungefär 130 000 euro, bedöms kunna hanteras inom ramen för Digitaliseringsenhetens nuvarande budget, förutsatt att några sänkningar av denna inte sker under kommande år.
Att myndighetsuppgifterna koncentreras till en myndighet förväntas leda till positiva och kostnadsbesparande synergieffekter, bland annat att ett kunskapskluster skapas genom att landskapets ansvariga tjänstemän samlas, vilket i sin tur medger en mer effektiv resursallokering samt en större tydlighet för operatörer vilken myndighet och vilka tjänstemän de i första hand ska vända sig till eller svara emot. Landskapsregeringen strävar vidare efter en intern funktionell uppdelning av skötandet av sina uppgifter inom ramen för sina föreslagna dubbla uppdrag som dels stödjande och rådgivande myndighet samt dels tillsynsmyndighet, i syfte att berörda operatörer ska få tillit och förtroende till dess stödjande och rådgivande verksamhet.
Datainspektionen kan vidare räkna med ett visst tillkommande resursbehov för att sköta sina tillkommande uppgifter som tillsynsmyndighet enligt lagförslaget. Datainspektionen bedömer själv att ett årsverke behöver tillföras myndigheten för att tillgodose tillkommande behov av teknisk och juridisk kompetens inom AI. Landskapsregeringen bedömer dock att ett tätt och väl fungerande samarbete med den tillkommande personalresursen vid landskapsregeringens digitaliseringsenhet skulle kunna täcka in den största delen av Datainspektionens tillkommande behov.
Landskapsregeringen bedömer slutligen att AI-förordningen kommer att medföra att övriga landskaps- och kommunalförvaltningen påförs nya, förhållandevis låga, indirekta kostnader till följd av AI-förordningens krav på åtgärder, dokumentation och administration i egenskap av operatörer, främst i egenskap av tillhandahållare av AI-system med hög risk. Dessa tillkommande kostnader står dock i direkt proportion till den utsträckning sådana AI-system används i myndigheternas verksamheter och i förhållande till de enskilda AI-systemens inneboende risker. Landskapsregeringen avser att främja samarbeten och samordning mellan landskapets myndigheter kring tillämpningen av AI-förordningen och bedömer att detta kan förväntas leda till synergieffekter och en därigenom lättad ekonomisk börda för landskapets myndigheter.
5.4 Övriga samhälleliga verkningar
Lagförslaget förväntas tillsammans med AI-förordningen, genom förbud mot AI-användningsområdena subliminala eller bedrägliga tekniker, utnyttjande av svagheter, social poängsättning, kriminell riskbedömning, skrapning av databaser för ansiktsigenkänning, uttydande av fysiska personers känslor inom känsliga områden, biometrisk kategorisering och biometrisk identifiering i realtid på allmänna platser, med vissa undantag samt krav på transparens och skydd av grundläggande rättigheter, gynna Ålands utvecklings- och hållbarhetsagendas mål ett, om välmående, och mål två, om tillit och delaktighet.
AI-förordningens skyldigheter är vidare starkt kopplade till unionens etiska riktlinjer för tillförlitlig AI, vilka anses främja en mer socialt och etiskt hållbar utveckling och användning av AI.
6. Ärendets beredning
Landskapsregeringen beslutade den 25 juni 2025 att överföra en lagstiftningspromemoria om genomförande av AI-förordningen på Åland till lagberedningen för lagstiftningsåtgärder.
Lagförslaget har beretts som tjänstemannaberedning vid lagberedningen, i samråd med relevanta sakkunniga inom landskapsregeringen och andra intressenter.
Lagförslaget har utsänts på remiss till 32 remissinstanser: Regeringskansliet, finansavdelningen, social- och miljöavdelningen, utbildnings- och kulturavdelningen, näringsavdelningen, infrastrukturavdelningen, Ålands landskapsarkiv, Ålands miljö- och hälsoskyddsmyndighet, ÅMHM, Ålands arbetsmarknads- och studieservicemyndighet, AMS, Ålands hälso- och sjukvård, ÅHS, Ålands ombudsmannamyndighet, ÅOM, Datainspektionen, DI, Ålands statistik- och utredningsbyrå, ÅSUB, Landskapets fastighetsverk, Fordonsmyndigheten, Ålands kulturdelegation, Ålands energimyndighet, Ålands gymnasium, Högskolan på Åland, Ålands folkhögskola, Ålands musikinstitut, Landskapet Ålands pensionsfond, Ålands sjösäkerhetscentrum, Ålands räddningsmyndighet, Ålands kommunförbund Oasen boende- och vårdcenter, Oasen, Kommunernas socialtjänst kommunalförbund, KST, Kommunalförbundet för Ålands Miljöservice, MISE, Mariehamns stad, Jomala kommun, Ålands näringsliv och Företagarna på Åland.
Lagförslaget har även i samband med remissutskicket utsänts för kännedom till övriga 14 kommuner.
Det har inkommit 13 remissutlåtanden, vilka har beaktats i det fortsatta lagberedningsarbetet. Remissinstanserna har över lag omfattat, avstyrkt i delar eller inte haft någon särskild erinran gentemot lagförslaget. Remissutlåtandena har föranlett vissa förtydliganden och justeringar i lagförslaget, särskilt avseende bedömda konsekvenser för myndigheterna i avsnittet om förslagets verkningar.
Parallellt med remissförfarandet har landskapsregeringens ansvariga tjänstemän upprättat en dialog med tjänstemän i rikets arbetsgrupp för fas II av dess genomförande av AI-förordningen. Dialogen med rikets arbetsgrupp har föranlett att landskapsregeringen har bedömt att den i remissutkastet föreslagna åländska regleringen av regulatoriska sandlådor om AI och testning under verkliga förhållanden bör utgå ur lagförslaget, med hänvisning till behov av fortsatt dialog med rikets arbetsgrupp jämte rikets försening av dess regeringsproposition om fas II av rikets genomförande av AI-förordningen. Landskapsregeringen har som ett resultat av dialogen med riket valt att dela upp genomförandet av AI-förordningen i två faser, likt i riket.
Detaljmotivering
1. Landskapslag om tillsyn över artificiell intelligens
1 kap. Allmänna bestämmelser
1 §. Tillämpningsområde. I paragrafen ingår bestämmelser om lagens tillämpningsområde.
I paragrafens 1 mom. ingår en bestämmelse om lagens syfte. Lagens syfte är att utfärda nationella bestämmelser som kompletterar AI-förordningen. AI-förordningen är direkt tillämplig lagstiftning i unionens medlemsstater, och den föreslagna lagen kan därför endast innehålla bestämmelser vilka närmare reglerar dess nationella tillämpning, i den utsträckning AI-förordningen tillåter, det behövs eller är nödvändigt för att komplettera bestämmelserna i förordningen.
Enligt paragrafens 2 mom. ska lagen tillämpas i enlighet med tillämpningsområdet i artikel 2 i AI-förordningen. Landskapslagen ska därmed tillämpas vid sidan av AI-förordningen och komplettera densamma.
Enligt paragrafens 3 mom. ska lagen inte tillämpas på Ålands lagting och till detta ansluten förvaltning. Bestämmelsen verkar avgränsande och bakgrunden utgörs av att Ålands lagting i samband med behandlingen av informationshanteringslagen (2025:37) för Åland, se betänkande LKU 13/2024-2025, bedömde det som maktfördelningsmässigt problematiskt i förhållande till självstyrelselagen att lagtinget och till denna ansluten förvaltning tas in i tillämpningsområdet för en lagstiftning vilken utser landskapsregeringen eller andra under denna lydande myndigheter till tillsynsmyndighet med därtill hörande förordningsbemyndigande.
Enligt lagtinget motsvarar förhållandet mellan lagtinget och landskapsregeringen enligt 3 § i självstyrelselagen i huvudsak det mellan riksdagen och statsrådet enligt 3 § i grundlagen och hänvisade i sitt betänkande till Högsta domstolens utlåtande, HD/258/2025, vilket avgavs över det ursprungliga lagförslaget LF 22/2023-2024, och dess bedömning att lagtinget har ett visst utrymme att tolka självstyrelselagens bestämmelser av konstitutionell karaktär oberoende av hur grundlagens liknande bestämmelser har tolkats i riket. För vidare resonemang om riksdagen och statsrådets roller och förhållande enligt 3 § i grundlagen; se grundlagsutskottets utlåtande (GrUU 62/2024 rd). Syftet med bestämmelsen är därmed att säkerställa att maktfördelningen och lagtingets verksamhet och roll som högsta offentliga organ på Åland inte ska äventyras till följd av att landskapsregeringens ålagda tillsynsuppdrag i aktuell lag.
2 §. Definitioner. Paragrafen innehåller en klargörande bestämmelse vilken reglerar att ord och uttryck har samma definitioner som de har i artikel 3 i AI-förordningen. Syftet med bestämmelsen är att undvika att betunga lagen med definitioner av ord och uttryck som AI-förordningen redan tillfredsställande har definierat, samt för att åstadkomma en harmoniserande helhet.
3 §. Förhållandet till annan lagstiftning. Paragrafen innehåller en avgränsande bestämmelse påkallad av den delade lagstiftningsbehörigheten över området och en informativ hänvisning till för marknadskontrollen avseende AI central unionslagstiftning och landskapslagstiftning om marknadskontroll.
I paragrafens 1 mom. framgår att lagen enbart ska tillämpas på operatörer och berörda personer vilka omfattas av AI-förordningens tillämpningsområde till den del som dessa bedriver verksamhet eller i övrigt faller inom ramen för Ålands lagstiftningsbehörighet.
I paragrafens 2 mom. återfinns en informativ hänvisning om att bestämmelser om marknadskontroll på området återfinns såväl i marknadskontrollförordningen som i AI-förordningen. Syftet med hänvisningen är att hjälpa dem som ska tillämpa lagen att beakta den materiella helhet som systemet för marknadskontroll består av.
I paragrafens 3 mom. görs ännu en informativ hänvisning om att bestämmelser om att tillsynsmyndigheternas behörigheter samt om sökande av ändring av dessas beslut inom ramen för deras marknadskontroll återfinns i marknadskontrollagen. Syftet med den informativa hänvisningen är, likt 2 mom., att tydliggöra helheten för tillämpare av lagen och på ett konsekvent sätt beskriva sambandet mellan de allmänna uppgifter och befogenheter som de utpekade behöriga tillsynsmyndigheterna har med stöd av denna lag och dess koppling till de närmare materiella bestämmelserna om befogenheter och rättssäkerhet i fråga om marknadskontroll i marknadskontrollagen. I artikel 14 i marknadskontrollförordningen föreskrivs det om medlemsstaternas skyldighet att delegera befogenheter till marknadskontrollmyndigheterna. På Åland har bestämmelserna om befogenheter för marknadskontrollmyndigheter i huvudsak samlats i marknadskontrollagen.
I paragrafens 4 mom. återfinns en slutlig informativ hänvisning till den produktspecifika specialregleringen i unionens harmoniseringslagstiftning och landskapets genomförande av densamma genom landskapslagstiftning.
2 kap. Tillsynsmyndigheter
4 §. Tillsynsmyndigheter. I paragrafen anges vilka tillsynsmyndigheter som utövar tillsyn, det vill säga marknadskontroll, enligt marknadskontrollförordningen och AI-förordningen. Tillsynsuppdragen begränsas dock i enlighet med lagens 3 § 1 mom. till operatörer och berörda personer vilka omfattas av AI-förordningens tillämpningsområde till den del som dessa bedriver verksamhet eller i övrigt faller inom ramen för Ålands lagstiftningsbehörighet. Enligt skäl 156 i AI-förordningen bör det system för marknadskontroll och överensstämmelse för produkter som inrättas genom marknadskontrollförordningen gälla i sin helhet för att säkerställa ändamålsenlig och effektiv kontroll av att de krav och skyldigheter som fastställs i AI-förordningen och som utgör en del av unionens harmoniseringslagstiftning efterlevs. Marknadskontrollmyndigheter vilka har utsetts enligt AI-förordningen bör ha alla de befogenheter vilka fastställs i AI-förordningen och i marknadskontrollförordningen vad gäller kontroll av efterlevnad. Bestämmelsen uppfyller den i artikel 70.1 i förordningen avsedda skyldigheten som medlemsstaterna åläggs i fråga om att utse nationella behöriga marknadskontrollmyndigheter.
Enligt artikel 70.1 i AI-förordningen ska nationella behöriga myndigheter utöva sina befogenheter på ett oberoende, objektivt och opartiskt sätt för att säkerställa objektiviteten i sina aktiviteter och uppgifter och för att säkerställa tillämpningen och genomförandet av denna förordning och personalen vid dessa myndigheter ska avhålla sig från varje handling som är oförenlig med deras uppdrag. Enligt förordningens artikel 70.3 ska medlemsstaterna säkerställa att deras nationella behöriga myndigheter har tillräckliga tekniska och ekonomiska resurser samt personalresurser, och infrastruktur för att kunna fullgöra sina uppgifter på ett ändamålsenligt sätt. I synnerhet ska de nationella behöriga myndigheterna ha ett tillräckligt antal anställda till ständigt förfogande, vars kompetens och sakkunskap ska inbegripa en ingående förståelse av AI-teknik, data och databehandling, skydd av personuppgifter, cybersäkerhet, grundläggande rättigheter, hälso- och säkerhetsrisker och kunskap om befintliga standarder och rättsliga krav. Medlemsstaterna ska varje år bedöma och, vid behov, uppdatera de kompetens- och resurskrav som uppställs. Enligt förordningens artikel 70.4 ska de nationella behöriga myndigheterna vidta lämpliga åtgärder för att säkerställa en lämplig nivå av cybersäkerhet.
Enligt förordningens artikel 70.5 ska de nationella behöriga myndigheterna när de utför sina uppgifter agera i enlighet med de konfidentialitetskrav som anges i förordningens artikel 78. Enligt förordningens artikel 70.8 får nationella behöriga myndigheter ge vägledning och råd om genomförandet av förordningen, i synnerhet till små och medelstora företag, inbegripet uppstartsföretag, med beaktande av AI-styrelsens och kommissionens vägledning och rådgivning, beroende på vad som är lämpligt. När de nationella behöriga myndigheterna avser att ge vägledning och rådgivning om ett AI-system på områden som omfattas av annan unionsrätt, ska samråd ske med de nationella behöriga myndigheterna enligt den unionsrätten, när så är lämpligt. Bestämmelsen genomför delar av artikel 70 och 74.8 i AI-förordningen.
I paragrafens 1 mom. regleras att landskapsregeringen ska utgöra tillsynsmyndighet, det vill säga marknadskontrollmyndighet, enligt artikel 70.1 i AI-förordningen och utövar tillsyn, det vill säga marknadskontroll, enligt marknadskontrollförordningen och AI-förordningen. Landskapsregeringen svar därmed allmänt för tillsynen enligt AI-förordningen, över AI-system med hög risk enligt artikel 6.1 i AI-förordningen, förbjudna användningsområden för AI enligt förordningens artikel 5, transparensskyldigheter enligt förordningens artikel 40, med mera. Landskapsregeringen ansvarar därmed enligt bestämmelsen för alla uppgifter och frågor som rör marknadskontroll enligt AI-förordningen, med undantag för de särskilda uppgifter vilka åläggs Datainspektionen enligt 2 mom.
I paragrafens 2 mom. bestäms att Datainspektionen ska utgöra tillsynsmyndighet, det vill säga marknadskontrollmyndighet, enligt artikel 74.8 i AI-förordningen och utöva tillsyn enligt marknadskontrollförordningen och AI-förordningen. Enligt artikel 74.8 i AI-förordningen ska medlemsstaterna, för AI-system med hög risk vilka förtecknas i 1 punkten i bilaga III till förordningen, i den mån systemen används för brottsbekämpande ändamål, gränsförvaltning och rättvisa och demokrati, och för AI-system med hög risk vilka förtecknas i 6, 7 och 8 punkterna i samma bilaga, till marknadskontrollmyndigheter för tillämpning av AI-förordningen utse antingen de behöriga tillsynsmyndigheterna för dataskydd enligt den allmänna dataskyddsförordningen eller dataskyddsdirektivet för brottsbekämpning, eller någon annan myndighet som utsetts enligt de villkor som fastställs i dataskyddsdirektivet för brottsbekämpning. På Åland är Datainspektionen dataskyddsmyndighet enligt såväl den allmänna dataskyddsförordningen som dataskyddsdirektivet för brottsbekämpning. Datainspektionen åläggs därmed ett tämligen begränsat tillsynsuppdrag, begränsat till AI-system med hög risk kopplat till vissa särskilt angivna användningsområden, vilka närmare anknyter till dess nuvarande uppdrag.
3 kap. Anmälande myndighet och anmälda organ
5 §. Anmälande myndighet. Paragrafen innehåller bestämmelser om utseende av anmälande myndighet, i enlighet med artiklarna 28.1 och 70.1 i AI-förordningen. För närmare beskrivning av kraven på alla nationella behöriga myndigheter enligt AI-förordningen, se detaljmotiveringen till 4 § ovan. I bestämmelsen utses landskapsregeringen till anmälande myndighet, med ansvar för att fastställa och genomföra de förfaranden som krävs för bedömning, utseende och anmälan av organ för bedömning av överensstämmelse och för övervakning av dessa. Enligt artikel 28.1 i AI-förordningen ska förfarandena utvecklas i samarbete med de anmälande myndigheterna i alla medlemsstater. Enligt förordningens artikel 28.3 ska anmälande myndigheter vara inrättade och organiserade och fungera på ett sådant sätt att det inte uppstår någon intressekonflikt med organen för bedömning av överensstämmelse och att det garanteras att deras verksamhet är objektiv och opartisk. Enligt förordningens artikel 28.4 ska anmälande myndigheter vara organiserade på ett sådant sätt att beslut som rör anmälan av organ för bedömning av överensstämmelse fattas av annan behörig personal än den som har gjort bedömningen av dessa organ. Enligt förordningens artikel 28.5 får anmälande myndigheter varken erbjuda eller utföra sådan verksamhet som utförs av organ för bedömning av överensstämmelse eller erbjuda eller utföra konsulttjänster på kommersiell eller konkurrensmässig grund. Enligt förordningens artikel 28.6 ska anmälande myndigheter säkerställa att den information som de erhåller behandlas konfidentiellt, i enlighet med förordningens artikel 78. Enligt artikel 28.7 ska anmälande myndigheter förfoga över tillräckligt med personal med lämplig kompetens för att kunna utföra sina uppgifter, i tillämpliga fall inbegripande nödvändig sakkunskap med tanke på sin funktion, samt på områden som informationsteknik, AI och juridik, och övervakning av grundläggande rättigheter. Bestämmelsen genomför delar av artikel 70 och artikel 28 i AI-förordningen.
6 §. Utseende av anmälda organ. Paragrafen föreskrivs att den anmälda myndigheten utser ett organ för bedömning av överensstämmelse till anmält organ. Syftet med bestämmelsen är att komplettera artiklarna 29–31 i AI-förordningen i fråga om det nationella utseendeförfarandet. Dessutom föreskrivs det i artikel 29 i AI-förordningen om ansökan om anmälan från ett organ för bedömning av överensstämmelse, i förordningens artikel 30 om anmälningsförfarandet och i förordningens artikel 31 om krav avseende anmälda organ. Bestämmelsen genomför delar av artikel 28 i AI-förordningen.
7 §. Anmälda organ och underentreprenörers skötande av vissa offentliga förvaltningsuppgifter. I paragrafen återfinns bestämmelser anmälda organs och eventuella underentreprenörers skötande av vissa offentliga förvaltningsuppgifter enligt AI-förordningen.
I paragrafens 1 mom. första meningen föreskrivs det om anmälda organs skötande av vissa offentliga förvaltningsuppgifter och om överföring av offentliga förvaltningsuppgifter på underentreprenörer. Bakgrunden till bestämmelsen utgörs av 124 § i grundlagen, vilken anger att offentliga förvaltningsuppgifter endast kan anförtros andra än myndigheter genom lag eller med stöd av lag. Bestämmelser om offentliga förvaltningsuppgifter för anmälda organ återfinns i AI-förordningens artiklar 34, 44 och 45. I förordningens artikel 34 föreskrivs det om operativa skyldigheter för anmälda organ, omfattande uppgifter i anslutning till bedömning av överensstämmelse med kraven i fråga om AI-system. I förordningens artikel 44 föreskrivs det om anmälda organs uppgifter i samband med upprättande, återkallande eller begränsning av intyg. I förordningens artikel 45 regleras anmälda organs informationsskyldigheter.
Enligt 1 mom. andra meningen kan de anmälda organen överföra vissa uppgifter i anslutning till bedömning av överensstämmelse till underentreprenörer, under förutsättning att detta sker i enlighet med artikel 33 i AI-förordningen. Det som i bestämmelsen uttrycks som att överföra vissa uppgifter som gäller bedömning av överensstämmelse täcker i praktiken endast olika delåtgärder, vilket kan betraktas som överlämnande av begränsade uppgifter till en osjälvständig medhjälpare. Enligt förordningens artikel 33.1 ska ett anmält organ vilket lägger ut specifika uppgifter med anknytning till bedömningen av överensstämmelse på underentreprenad eller anlitar ett dotterbolag säkerställa att underentreprenören eller dotterbolaget uppfyller kraven i artikel 31 och informera den anmälande myndigheten om detta. Enligt förordningens artikel 33.2 ska anmälda organ dessutom ta det fulla ansvaret för de uppgifter vilka utförs av underentreprenörer eller dotterbolag. Vidare anges det i förordningens artikel 33.3 att verksamhet endast får läggas ut på underentreprenad eller utföras av ett dotterbolag om leverantören samtycker till det. Enligt förordningens artikel 31.10 ska anmälda organ kunna utföra alla de uppgifter som de åläggs genom förordningen med högsta yrkesmässiga integritet och nödvändig kompetens på det specifika området, oavsett om dessa uppgifter utförs av de anmälda organen själva eller av annan för deras räkning och under deras ansvar.
I paragrafens 2 mom. föreskrivs det om tjänsteansvar i situationer där ett anmält organ eller en underentreprenör som det anmälda organet anlitar utför offentliga förvaltningsuppgifter som avses i 1 mom. För att förutsättningarna för överföring av offentliga förvaltningsuppgifter enligt 124 § i grundlagen ska uppfyllas föreskrivs det i momentet om tjänsteansvaret för den som sköter offentliga förvaltningsuppgifter. Med stöd av bestämmelsen tillämpas bestämmelserna om straffrättsligt tjänsteansvar på den som sköter offentliga förvaltningsuppgifter. I fråga om skadeståndsansvaret för personer som sköter offentliga förvaltningsuppgifter hänvisas det i bestämmelsen informativt till skadeståndslagen.
4 kap. Anmälan för vissa AI-system med hög risk
8 §. Anmälningsskyldighet avseende information. Paragrafen innehåller bestämmelser vilka hänvisar till och kompletterar anmälningsskyldigheter för information enligt AI-förordningens artiklar 49.5 och 60.4 led c.
Paragrafens 1 mom. innehåller en informativ hänvisning till ålägganden om anmälningsskyldigheter avseende information enligt artiklarna 49.5 och 60.4 led c i AI‑förordningen, varigenom skyldigheten att registrera uppgifter om AI-system med hög risk enligt punkten 2 i bilaga III till förordningen föreskrivs. I denna lag används begreppet anmälningsskyldighet i stället för AI-förordningens registreringsskyldighet. I artikel 49.5 i AI-förordningen föreskrivs att de AI-system med hög risk som avses i punkt 2 i bilaga III till AI-förordningen ska registreras på nationell nivå, det vill säga AI-system som är avsedda att användas som säkerhetskomponenter i samband med förvaltning och drift av kritisk digital infrastruktur, vägtrafik eller i samband med tillhandahållande av vatten, gas, värme och el. I artikel 60.4 led c i AI-förordningen föreskrivs, bland annat, att leverantörer eller potentiella leverantörer endast får utföra testningen under verkliga förhållanden om leverantören eller den potentiella leverantören av AI-system med hög risk som avses i punkt 2 i bilaga III har registrerat testning under verkliga förhållanden i enlighet med artikel 49.5.
I paragrafens 2 mom. föreskrivs om den skyldighet operatören har att anmäla de uppgifter som anges i 9 § till den behöriga tillsynsmyndigheten, det vill säga inom vars tillsynsområde systemet hör, i detta fall landskapsregeringen, vilken skulle ansvara för att ta emot och lagra de anmälda uppgifterna. Dessutom bestäms det i 2 mom. om operatörens skyldighet att anmäla ändringar i de uppgifter som har meddelats till tillsynsmyndigheten efter det att uppgifterna har anmälts. Skyldigheten att anmäla ändringar av uppgifter föreskrivs inte i AI‑förordningen, men en sådan skyldighet behöver föreskrivas nationellt för att säkerställa att de uppgifter som anmäls i enlighet med förordningens krav hålls aktuella.
9 §. Information som ska anmälas. I paragrafen anges den information vilken omfattas av anmälningsskyldigheten genom hänvisningar till bilagorna VIII och IX till AI‑förordningen, vari de ingående uppgifterna definieras närmare. De uppgifter som ska anmälas och skyldigheten att anmäla dem skiljer sig åt beroende på vilken typ av operatör det rör sig om.
I paragrafens punkt 1 föreskrivs om uppgifter vilka ska anmälas och som avser leverantören av AI‑systemet eller dennes ombud. Bestämmelsen baseras på artiklarna 49.1–2 och 71.2 i AI‑förordningen, vilka ska tillämpas analogt vid fullgörandet av den nationella anmälningsskyldigheten. De uppgifter som omfattas av anmälningsskyldigheten definieras i avsnitt A och B i bilaga VIII till AI-förordningen.
I paragrafens punkt 2 föreskrivs om de uppgifter vilka ska anmälas och avseende en användare av AI‑systemet som är en myndighet eller agerar på dess vägnar. Bestämmelsen baseras på artiklarna 49.3 och 71.3 i AI-förordningarna, vilken ska tillämpas analogt vid fullgörandet av den nationella anmälningsskyldigheten. De uppgifter som omfattas av anmälningsskyldigheten definieras i avsnitt C i bilaga VIII till AI-förordningen. Uppgifterna innefattar dock inte de uppgifter vilka avses i punkt 4 i nämnda avsnitt, eftersom dessa innehåller en sammanfattning av resultatet av den bedömning av konsekvenser för grundläggande rättigheters konsekvenser vilken utförs enligt artikel 27 i AI-förordningen. Den skyldighet att bedöma grundläggande rättigheter som föreskrivs i artikel 27 i AI-förordningen tillämpas inte på högrisksystem som avses i punkten 2 i bilaga III till förordningen och som hänför sig till kritisk infrastruktur, varför någon sammanfattning av sådana bedömningar inte upprättas.
I paragrafens punkt 3 föreskrivs om de uppgifter vilka ska anmälas och som avser testning av AI‑systemet under verkliga förhållanden, vilket gäller leverantören eller en potentiell leverantör. Med potentiell leverantör avses en leverantör vilken testar ett AI‑system under verkliga förhållanden, men ännu inte har släppt ut det på marknaden. Bestämmelsen baseras på artikel 60.4 led c i AI‑förordningen, vilken ska tillämpas analogt vid fullgörandet av den nationella anmälningsskyldigheten. De uppgifter vilka omfattas av anmälningsskyldigheten definieras i bilaga IX till AI-förordningen.
10 §. Förordningsbemyndigande. I paragrafen föreskrivs om ett bemyndigande för landskapsregeringen att genom landskapsförordning meddela bestämmelser om de tekniska förfarandena för att genomföra anmälningsskyldigheten enligt 8 § samt detaljerna i de uppgifter vilka ska anmälas enligt 9 §. Bestämmelserna skulle bland annat kunna avse det tekniska sättet att anmäla informationen eller kunna precisera detaljer avseende de anmälningsskyldiga uppgifter vilka anges i bilagorna VIII och IX till AI‑förordningen.
11 §. Sekretessbestämmelse. I paragrafen införs en sekretessbestämmelse avseende den information som anmäls med stöd av 8 §. Bland den information vilken omfattas av anmälningsskyldigheten och som anges i avsnitt A och B i bilaga VIII till AI-förordningen finns uppgifter vilka är offentliga enligt offentlighetslagen (2021:79) för Åland (hädanefter benämnd offentlighetslagen), såsom namn, adress och kontaktuppgifter för leverantören eller ombudet. Däremot innehåller uppgifterna enligt bilagorna VIII och IX till AI-förordningen även sekretessbelagda uppgifter enligt 21 § 1 mom. 4 och 9 punkterna i offentlighetslagen. Det är nödvändigt att föreskriva om kompletterande bestämmelser om sekretess för de anmälda uppgifterna som ett komplement till offentlighetslagen, eftersom AI-system med hög risk vilka hänför sig till kritisk infrastruktur innehåller känsliga uppgifter med betydelse för skyddet av samhällsviktiga funktioner. Uppgiften om existensen av ett AI-system med hög risk i sig kan anses medföra en risk för skyddet av samhällsviktiga funktioner. I övrigt tillämpas offentlighetslagen på uppgifterna, dock så att tillsynsmyndigheten endast får lämna ut uppgifter för de ändamål som föreskrivs i 12 § i denna lag eller enligt 13 §, 14 § och 23 § 1 mom. 3–5 punkterna i offentlighetslagen.
12 §. Rätt att utlämna information. I paragrafen föreskrivs om tillsynsmyndighetens rätt att, trots sekretessbestämmelser och andra begränsningar vilka gäller utlämnande av information, lämna ut information till Europeiska kommissionen och till nationella behöriga myndigheter i andra EU‑medlemsstater vars tillsynsområde omfattar AI-system med hög risk enligt punkt 2 i bilaga III till AI‑förordningen. Rätten att lämna ut information gäller de uppgifter vilka omfattas av anmälningsskyldigheten enligt 9 §. Artikel 49.5 i AI‑förordningen kräver inte att kommissionen eller andra medlemsstaters marknadskontrollmyndigheter ska ha tillgång till nationellt registrerade uppgifter om AI-system med hög risk avseende kritisk infrastruktur. Vid genomförandet har det dock ansetts nödvändigt att föreskriva om sådan rätt till uppgiftslämnande, eftersom kommissionen och andra medlemsstaters nationella behöriga myndigheter har uppgifter vilka hänför sig till genomförande av och tillsyn enligt AI‑förordningen. Åländskt registrerade uppgifter kan vara nödvändiga för att dessa uppgifter ska kunna fullgöras. Dessutom föreskrivs i artikel 49.4 i AI-förordningen att kommissionen och vissa nationella behöriga myndigheter ska ha tillgång till relevanta begränsade delar av EU‑databasen över registrerade uppgifter. På motsvarande sätt har det vid genomförandet ansetts att kommissionen och andra medlemsstaters nationella behöriga myndigheter bör ges möjlighet att få tillgång till åländskt registrerade uppgifter.
Förutsättningen för utlämnande är att det är nödvändigt för att Europeiska kommissionen eller en marknadskontrollmyndighet i en annan medlemsstat ska kunna fullgöra sina uppgifter enligt AI‑förordningen. I den mån de föreslagna rättigheterna att lämna ut uppgifter innebär en rätt att lämna ut personuppgifter, används den nationella handlingsfrihet som den allmänna dataskyddsförordningen medger. Särreglering införs med stöd av artikel 6.2 och 6.3 i dataskyddsförordningen. De föreslagna rättigheterna att lämna ut uppgifter skulle baseras på artikel 6.1 led c i dataskyddsförordningen, eftersom de hänför sig till att tillsynsmyndigheterna fullgör lagstadgade uppgifter i samband med anmälningsskyldigheten för AI‑system med hög risk. Myndigheters rätt att behandla särskilda personuppgifter skulle grunda sig på 9 § 1 mom. i landskapslagen (2019:9) om dataskydd inom landskaps- och kommunalförvaltningen (hädanefter benämnd dataskyddslagen). De skyddsåtgärder vilka krävs enligt artikel 9 i den allmänna dataskyddsförordningen uppfylls genom de krav på lämpliga och särskilda skyddsåtgärder vilka föreskrivs i 9 § 2 mom. jämte 13 § i dataskyddslagen. Att uppgiftsutlämnandet är bundet till nödvändighet utgör dessutom en skyddsåtgärd. Vid användningen av dessa rättigheter behandlas inga uppgifter vilka hör till särskilda kategorier av personuppgifter eller som är konstitutionellt känsliga.
13 §. Avgifter. Enligt paragrafen får avgifter tas ut för anmälan av information, närmare bestämmelser om avgifterna kan meddelas genom landskapsregeringens beslut. Bestämmelsen baseras på 6 § i landskapslagen (1993:27) om grunderna för avgifter till landskapet, enligt vilken landskapsregeringen beslutar vilka prestationer som är avgiftsbelagda och fastställer storleken på avgifterna.
5 kap. Tillsyn och efterlevnadskontroll
14 §. Befogenheter vid tillsyn och efterlevnadskontroll. Syftet med paragrafen är att förtydliga befogenheterna vid tillsyn, det vill säga marknadskontroll, i förhållande till tillämpningen av AI-förordningen, genom att informativt hänvisa till de författningar vilka ligger till grund för dessa. Enligt artikel 74.1 i AI-förordningen ska det system för marknadskontroll och överensstämmelse för produkter vilket har inrättats genom marknadskontrollförordningen tillämpas i sin helhet på AI-system vilka omfattas av förordningens tillämpningsområde. Enligt skäl 156 i ingressen till AI-förordningen är syftet med artikel 74.1 att befogenheterna enligt marknadskontrollförordningen ska kunna utövas när AI-system utgör en risk i enlighet med förordningen, vilket inbegriper en risk för hälsa, säkerhet eller de grundläggande fri- och rättigheterna. AI-förordningen innehåller vidare närmare bestämmelser om tillsynen över AI-system med hög risk och förbjudna användningsområden för sådana. I artikel 50 i AI-förordningen föreskrivs det dessutom om transparenskrav, vilka enligt skäl 132–136 syftar till att bekämpa risker som bland annat orsakas av vilseledande, manipulering och spridning av felaktig information. Bestämmelsen genomför delar av artikel 99 i AI-förordningen.
Paragrafen innehåller en informativ hänvisning till 3 kap. i marknadskontrollagen, vari det föreskrivs om tillsynsmyndigheternas, det vill säga marknadskontrollmyndigheternas, befogenheter att vidta tillsynsåtgärder gentemot operatörer med stöd av marknadskontrollagen. Enligt definitionen i artikel 3.8 i AI-förordningen kan en operatör vara en leverantör, en produkttillverkare, en tillhandahållare, ett ombud, en importör eller en distributör. Marknadskontrollagen utgör en viktig allmän lag om marknadskontroll på landskapsnivå vilken kompletterar marknadskontrollförordningen och landskapets speciallagstiftning om marknadskontroll, vilken har utfärdats med stöd av unionens harmoniseringslagstiftning. De tillsynsåtgärder vilka kan vidtas enligt marknadskontrollagen utgörs bland annat av de i åtgärdsföreläggande enligt 16 §, förbud enligt 17 §, återkallelse enligt 18 §, tillfälligt förbud enligt 20 §, informationsföreläggande enligt 21 §, befogenheter i samband med onlinegränssnitt och domännamn enligt 21a §, tvångsutförande enligt 25 § och föreläggande om förstöring enligt 22 §.
Vid tillsyn av AI-system tillämpas befogenheterna enligt marknadskontrollagen till den del som de kompletterar den produktsektorspecifika speciallagstiftningen, det vill säga den harmoniseringslagstiftning vilken förtecknas i avsnitt A i bilaga I till AI-förordningen och den landskapslagstiftning vilken har utfärdats med stöd av denna. Dessutom har marknadskontrollsmyndigheten i enlighet med 3 kap. i marknadskontrollagen rätt att få information, 7 och 11 §§, möjlighet att anlita utomstående experter, 13 §, och att få handräckning av polisen, 14 §. Dessa befogenheter kompletteras därmed av marknadskontrollförordningen och de specialbestämmelser vilka framgår av unionens harmoniseringslagstiftning och den landskapslagstiftning vilken har utfärdats med stöd av denna. Om ett AI-system är en produkt eller en del av en produkt vilken omfattas av unionens harmoniseringslagstiftning enligt förteckningen i avsnitt A i bilaga I till AI-förordningen, beror marknadskontrollsmyndighetens befogenheter i vissa fall på den landskapslagstiftning vilken har utfärdats med stöd av harmoniseringslagstiftningen och som vid behov kompletteras av befogenheterna enligt marknadskontrollagen. Enligt skäl 64 i ingressen till AI-förordningen är avsikten att förordningen i tillämpliga delar ska komplettera den harmoniserade unionslagstiftning i detta avseende.
15 §. Myndighetssamråd och samarbete. Enligt bestämmelsen ska landskapsregeringen, tillsynsmyndigheten och den anmälande myndigheten, det vill säga landskapsregeringen och Datainspektionen, när de utför sina uppgifter enligt AI-förordningen och denna lag och när så är lämpligt, samråda och samarbeta med andra relevanta landskapsmyndigheter och rikets eller andra medlemsstaters behöriga myndigheter enligt AI-förordningen, det vill säga dess gemensamma kontaktpunkt, marknadskontrollmyndigheter och anmälande myndigheter samt andra behöriga myndigheter enligt AI-förordningen, i den utsträckning det är nödvändigt för skötandet av deras uppgifter enligt AI-förordningen, denna lag eller lagen om tillsyn över vissa system för artificiell intelligens.
16 §. Rätt att utlämna information. Enligt paragrafens har landskapsregeringen och tillsynsmyndigheten, det vill säga landskapsregeringen och Datainspektionen, och den anmälande myndigheten, det vill säga landskapsregeringen, trots sekretessbestämmelser och andra begränsningar rätt att och ska till rikets behöriga myndigheter enligt AI-förordningen, det vill säga Finlands gemensamma kontaktpunkt, marknadskontrollmyndigheter, anmälande myndigheter samt andra behöriga myndigheter enligt AI-förordningen lämna ut den information vilken är nödvändig för att de ska kunna utföra sina uppgifter enligt AI-förordningen, denna lag och lagen om tillsyn över vissa system för artificiell intelligens. Rätten till utlämnande omfattar såväl utlämnande av den information vilken är nödvändigt för att de utlämnande som de mottagande myndigheterna ska kunna utföra sina uppgifter enligt AI-förordningen och nationell genomförandelagstiftning.
17 §. Vite samt hot om tvångsutförande och avbrytande. Paragrafen innehåller bestämmelser vilken möjliggör tillsynsmyndigheter att förena ett förbud eller ett föreläggande som den meddelat med vite eller hot om tvångsutförande.
I paragrafens 1 mom. ingår en bestämmelse om tillsynsmyndighetens rätt att förena ett förbud eller föreläggande som den meddelat med stöd av den föreslagna lagen med vite eller med hot om tvångsutförande i enlighet med 25 § i marknadskontrollagen. Bestämmelser om användningen av dessa administrativa tvångsmedel finns i landskapslagen (2008:10) om tillämpning i landskapet Åland av viteslagen, vilken tillämpliggör viteslagen (FFS 1113/1990). Syftet med bestämmelsen är i första hand att säkerställa att operatören vidtar de åtgärder vilka myndigheten har ålagt densamma. Tillsynsmyndigheten ska i sista hand säkerställa att alla behövliga åtgärder vidtas för att undanröja risker. Kostnaderna för en åtgärd vilken vidtagits genom tvångsutförande betalas i förskott av landskapets medel, men de kan indrivas hos den försumlige utan dom eller beslut. Beslut om tvångsutförande ska alltid fattas separat, men något särskilt beslut om indrivning av kostnaderna för tvångsutförandet behöver dock inte fattas.
I paragrafens 2 mom. föreskrivs att informationsskyldigheten dock inte får förenas med ett vitesföreläggande riktat till en fysisk person som det finns anledning att misstänka för brott och informationen har samband med det ärende som brottsmisstanken hänför sig till. Bakgrunden till bestämmelsen är skyddet mot självinkriminering, vilket innefattar rätten att låta bli att medverka till fastställandet av sin egen skuld.
18 §. Påföljdsavgiftsnämnd. I den nya paragrafen föreskrivs det om inrättandet av ett nytt organ, en påföljdsavgiftsnämnd för tillsynen över AI-system, vilken utses av landskapsregeringen och ska ha som uppgift att på framställan ifrån tillsynsmyndigheterna landskapsregeringen eller Datainspektionen påföra operatörer och anmälda organ administrativa påföljdsavgifter. Påföljdsavgiftsnämnden ska befinnas i anslutning till landskapsregeringen, det vill säga att den utses av, erhåller ersättning av och är administrativt underställd landskapsregeringen, vilken även sköter dess administration, informationshantering och sammankallande. Påföljdsavgiftsnämnden förväntas alltjämt att sköta sina uppgifter och avgöra sina ärenden på ett oberoende, opartiskt och sakligt sätt. Påföljdsavgiftsnämnden ska enbart sammanträda vid behov för att behandla ett ärende vilket gäller påförande av en administrativ påföljdsavgift.
Genom att en påföljdsavgiftsnämnd införs, det vill säga att ett i sitt beslutsfattande oberoende kollegialt organ görs behörigt att påföra administrativa påföljdsavgifter, säkerställs att förfarandet för att påföra sådana påföljdsavgifter är behörigt, oavhängigt och rättvist. Påföljdsavgiftsnämndens funktion och sammansättning är i huvudsak utformad enligt desamma principer vilka har legat till grund för rikets genomförande i 13 § i lagen om tillsyn över vissa system för artificiell intelligens. Bestämmelserna har utformats med beaktande av lagstiftningskontrollens slutsatser och grundlagsutskottets praxis och bedöms därmed vara i överenstämmelse med 21 § i grundlagen (se GrUU 14/2018 rd, GrUU 62/2024 rd och GrUU 33/2025 rd). Bestämmelsen genomför delar av artikel 99 i AI-förordningen.
I paragrafens 1 mom. föreskrivs att landskapsregeringen ska utse en till denna ansluten påföljdsavgiftsnämnd, vilken på framställan ifrån tillsynsmyndigheten i fråga kan påföra operatörer och anmälda organ administrativa påföljdsavgifter. Landskapsregeringen bestämmer i samband med påföljdsavgiftsnämndens tillsättande om ledamöternas ersättning. Tillsynsmyndigheten kan därmed framlägga en framställan till påföljdsavgiftsnämnden om att en administrativ påföljdsavgift påförs en operatör eller ett anmält organ, om den i sin tillsynsverksamhet observerar att de vidtar ett lagstridigt förfarande. Landskapsregeringen ska i sin tillsynsverksamhet tillse att ärendet utreds tillräckligt, i syfte att det till framställningen om påförande av en administrativ påföljdsavgift kan fogas en fullständig utredning om den överträdelse eller försummelse som ligger till grund för framställningen.
I paragrafens 2 mom. bestäms påföljdsavgiftsnämndens sammansättning. Påföljdsavgiftsnämnden ska bestå av en ordförande, en vice ordförande och minst två övriga ledamöter och personliga ersättare för dem. Nämndens ledamöter och ersättare ska antingen vara förtrogna med AI-system och AI-modeller, samt de skyldigheter vilka ankommer på operatörer och anmälda organ enligt AI-förordningen, denna lag och författningar utfärdade med stöd av dessa. Påföljdsavgiftsnämndens ordförande och vice ordförande ska därutöver ha sådan tillräcklig juridisk sakkunskap vilken uppdraget förutsätter. Påföljdsavgiftsnämndens ledamöter utses för en period om 5 år i taget, dess ledamöter ska agera oberoende och opartiskt i sitt uppdrag och dess uppgift ska vara bisyssla för medlemmarna och ersättarna. Påföljdsavgiftsnämnden beslutar själv om de närmare formerna för sin egen verksamhet och organisering. För ordföranden och vice ordföranden utses inga ersättare.
I paragrafens 3 mom. föreskrivs närmare om påföljdsavgiftsnämndens beslutsfattande. Påföljdsavgiftsnämnden ska fatta sina beslut efter föredragning. Föredragande är den tjänsteman vid landskapsregeringen vilken handlägger tillsynsärenden inom aktuellt sakområde. Påföljdsavgiftsnämnden är beslutsför när ordföranden eller vice ordföranden och minst två andra ledamöter eller ersättare är närvarande. Det utslag vilket flertalet har understött ska gälla som påföljdsavgiftsnämndens beslut. Vid lika röstetal gäller det utslag vilket är lindrigare för den vilken påföljden riktas emot. Påföljdsavgiftsnämnden ska i samband med sökande av ändring i ett beslut som den fattat ge ett utlåtande eller en utredning som avses i 42 § i lagen om rättegång i förvaltningsärenden (FFS 808/2019). Utlåtandet eller utredningen ska dock i princip beredas av den tillsynsmyndighet som har framställt att påföljdsavgift ska påföras, eftersom påföljdsavgiftsnämnden inte har några anställda och eftersom den bästa sakkunskapen i ärendet finns hos myndigheten i fråga.
Paragrafens 4 mom. reglerar påföljdsavgiftsnämndens rätt att få information. Påföljdsavgiftsnämnden föreslås att trots sekretessbestämmelser ha rätt att avgiftsfritt av tillsynsmyndigheten, den anmälande myndigheten och det anmälda organet få den information som är nödvändig för påförande av påföljdsavgiften. Information som är nödvändig för påförande av påföljdsavgift kan från fall till fall vara till exempel sådana uppgifter om testning och dokumentation av AI-system med hög risk vilken tillsmyndigheten har rätt att få med stöd av AI-förordningen samt annan information, vilken är nödvändig för att bedöma grunden för påföljdsavgiften och påföljdsavgiftens belopp. Påföljdsavgiftsnämnden ska kunna inhämta information om omständigheter som påverkar ett ärende som gäller påföljdsavgift för att kunna fatta beslut om att påföra eller låta bli att påföra påföljdsavgiften. I den utsträckning det i bestämmelsen är fråga om rätten att få personuppgifter, utnyttjas det nationella handlingsutrymme som artikel 6.2 och 6.3 i allmänna dataskyddsförordningen medger. Påföljdsavgiftsnämndens rätt att behandla personuppgifter grundar sig på artikel 6.1 led c i allmänna dataskyddsförordningen, eftersom påföljdsavgiftsnämnden sköter uppgiften att bestämma påföljder med stöd av den föreslagna lagen. Myndigheters rätt att behandla särskilda personuppgifter skulle grunda sig på 9 § 1 mom. i dataskyddslagen. De skyddsåtgärder vilka krävs enligt artikel 9 i den allmänna dataskyddsförordningen uppfylls genom de krav på lämpliga och särskilda skyddsåtgärder vilka föreskrivs i 9 § 2 mom. jämte 13 § i dataskyddslagen. Att uppgiftsutlämnandet är bundet till nödvändighet utgör dessutom en skyddsåtgärd. På det sätt som grundlagsutskottets utlåtandepraxis förutsätter är rätten att få känsliga personuppgifter begränsad till vad som är absolut nödvändigt.
19 §. Administrativ påföljdsavgift. I paragrafen föreskrivs om påföljdsavgiftsnämndens möjligheter och villkor för att påföra en operatör eller ett anmält organ en administrativ påföljdsavgift till följd av att de har brutit mot eller har försummat skyldigheter enligt AI-förordningen och lagen. Bestämmelsen genomför delar av artikel 99 i AI-förordningen.
I paragrafens 1 mom. återfinns en allmän bestämmelse, vilken föreskriver att påföljdsavgiftsnämnden på framställan av tillsynsmyndigheten genom beslut ålägga en operatör eller ett anmält organ, vilka uppsåtligen eller av oaktsamhet bryter mot eller försummar deras skyldigheter enligt AI-förordningen eller denna lag, att erlägga en administrativ påföljdssavgift. Påföljdsavgiftsnämnden kan besluta att påföra en administrativ påföljdsavgift till ett lägre eller högre belopp än vad som har föreslagits i framställningen eller helt avstå ifrån att påföra en administrativ påföljdsavgift. För närmare bestämmelser, se följande moment. Enligt momentet ska vidare den administrativa påföljdsavgiften tillfalla landskapet. Bestämmelsen genomför delar av 99.1 i AI-förordningen.
I paragrafens 2 mom. regleras att påföljdsavgiftsnämnden i varje enskilt fall vid beslut om huruvida en administrativ påföljdsavgift ska åläggas och om storleken på densamma ska beakta alla relevanta omständigheter i det specifika fallet och ta vederbörlig hänsyn, i förekommande fall, till de omständigheter vilka uppräknas i momentets punktlista. De omständigheter som uppräknas i punktlistan är direkt hänförliga till motsvarigheten i artikel 99.7 i AI-förordningen, vilken genomförs genom bestämmelsen. Vissa förtydliganden har dock skett för att belysa att beslut om påförande av administrativa påföljdsavgifter av behöriga myndigheter, domstolar och andra organ i riket och i andra medlemsstater i Europeiska unionen ska beaktas, vilket säkerställer att dubbel straffbarhet undviks. Vidare förtydligas att påföljdsavgiftsnämndens beaktande och hänsynstagande av uppräknade omständigheter i momentet även ska gälla när en administrativ påföljdsavgift övervägs påföras ett anmält organ.
I paragrafens 3 mom. återfinns en bestämmelse vilken ger påföljdsavgiftsnämnden möjlighet att påföra en operatör en administrativ påföljdsavgift om denna uppsåtligen eller av oaktsamhet bryter mot bestämmelserna om förbjudna AI-användningsområden i artikel 5 i AI-förordningen, med i förordningen föreskrivna takbelopp. Bestämmelsen genomför artikel 99.3 i AI-förordningen.
I paragrafens 4 mom. föreskrivs att påföljdsavgiftsnämnden får påföra en operatör eller ett anmält organ en administrativ påföljdsavgift om de uppsåtligen eller av oaktsamhet bryter mot eller försummar de i punktlistan uppräknade skyldigheterna i AI-förordningen för olika typer av operatörer och anmälda organ, med i förordningen föreskrivna takbelopp. Bestämmelsen genomför artikel 99.4 i AI-förordningen.
I paragrafens 5 mom. bestäms att påföljdsavgiftsnämnden får påföra en operatör eller ett anmält organ en administrativ påföljdsavgift om de tillhandahåller oriktig, ofullständig eller vilseledande information till tillsynsmyndigheten, anmälande myndigheten eller ett anmälande organ som svar på en begäran eller ett informationsföreläggande, med i förordningen föreskrivna takbelopp. Bestämmelsen genomför artikel 99.5 i AI-förordningen.
I paragrafens 6 mom. återfinns en bestämmelse om avvikelse i förhållande till innehållet i bestämmelserna i 3, 4 och 5 mom., vilken föreskriver att administrativa påföljdsavgifter, vilka påförs sådana mikroföretag, små företag eller medelstora företag som avses i Europeiska kommissionens rekommendation (2003/361/EG) om definitionen av mikroföretag samt små och medelstora företag, som högst ska uppgå till de procentsatser eller belopp som avses i 3, 4 och 5 mom., beroende på vilket som är lägst. Enligt rekommendationens artikel 2.1 utgörs kategorin mikroföretag samt små och medelstora företag (SMF-kategorin) av företag vilka sysselsätter färre än 250 personer och vars årsomsättning inte överstiger 50 miljoner euro eller vars balansomslutning inte överstiger 43 miljoner euro per år. Enligt artikel 2.3 i rekommendationen definieras mikroföretag som företag som sysselsätter färre än 10 personer och vars omsättning eller balansomslutning inte överstiger 2 miljoner euro per år. Enligt artikel 2.2 i rekommendationen definieras små företag som företag som sysselsätter färre än 50 personer och vars omsättning eller balansomslutning inte överstiger 10 miljoner euro per år. Medelstora företag utgör därmed företag vilka sysselsätter mellan 50 och 249 personer och vars omsättning eller balansomslutning överstiger 10 miljoner euro per år men vars årsomsättning understiger 50 miljoner per år och balansomslutning understiger 43 miljoner per år. Bestämmelsen genomför artikel 99.6 i AI-förordningen.
I paragrafens 7 mom. samt de därpå följande momentet föreskrivs om situationer där påföljdsavgift inte får påföras. Grundlagsutskottet har i sin praxis förutsatt att myndighetens prövning vid beslut om att inte påföra en administrativ påföljdsavgift ska vara bunden till prövning på ett sådant sätt att påföljdsavgift inte ska påförs om de villkor som anges i lagen är uppfyllda. Dessutom säkerställs genom momenten ett förbud mot dubbel straffbarhet, lämnas myndigheter och självständiga offentligrättsliga inrättningar utanför möjligheten till påförande av administrativ påföljdsavgift samt föreskrivs om preskription av den överträdelse eller försummelse som den administrativa påföljdsavgiften avser. I 7 mom. föreskrivs att en administrativ påföljdsavgift inte påförs om överträdelsen eller försummelsen ska anses vara ringa eller påförande av påföljdsavgift måste anses uppenbart oskäligt. En överträdelse eller försummelse kan bland annat anses som ringa om en operatör eller ett anmält organ på eget initiativ och omedelbart efter att ha upptäckt sin överträdelse eller försummelse har vidtagit åtgärder för att korrigera sitt förfarande och de slutliga följderna därigenom har förblivit obetydliga. En helhetsbedömning vid övervägande om påförande av en administrativ påföljdsavgift ska göras enligt paragrafens 2 mom.
I paragrafens 8 mom. regleras att en administrativ påföljdsavgift inte får påföras en fysisk person enligt förutsättningarna i punktlistan. Bestämmelsen motiveras med hänvisning till fysiska personers särskilda rättigheter hänförliga till rättsskyddet i 21 § i grundlagen.
Paragrafens 8 mom. 1–2 punkter avser situationer när en fysisk person misstänks för samma gärning i en förundersökning, en åtalsprövning eller ett brottmål vilket är anhängigt vid en domstol eller genom en lagakraftvunnen dom har dömts för samma gärning. Bestämmelserna motsvarar den så kallade ne bis in idem-principen, det vill säga förbudet mot att ålägga flera påföljder av straffkaraktär för samma gärning. Bestämmelserna behövs, eftersom påföljdsavgiften kan anses vara av straffkaraktär.
Paragrafens 8 mom. 3 punkt avser situationer när en fysisk person har försummat en informationsskyldighet och det finns anledning att misstänka personen för brott och informationen har samband med det ärende som brottsmisstanken hänför sig till. Syftet med bestämmelsen är att trygga skyddet mot självinkriminering genom att förhindra en situation där en person vid äventyr av administrativ påföljdsavgift förutsätts främja utredningen av sin egen eventuella skuld.
I paragrafens 9 mom. bestäms att landskapsregeringen och under denna lydande myndigheter och inrättningar, det vill säga landskapsförvaltningen, och kommunala myndigheter, det vill säga landskapets kommunala förvaltning, inte får påföras administrativa påföljdsavgifter. Grundlagsutskottet har ansett att en utvidgning av dataskyddets bestämmelser om påförande av administrativ påföljdsavgift till myndighetsverksamhet inte är problemfritt i konstitutionellt hänseende (se GrUU 14/2018 rd samt GrUU 13/2023 rd). Grundlagsutskottet har i sin bedömning betonat betydelsen av att myndigheterna i Finland inte kan påföras administrativa påföljdsavgifter, eftersom endast straffrättsliga påföljder kan påföras myndigheterna (se stycke 40 i GrUU 37/2021 rd). Genom bestämmelsen utnyttjas det nationella handlingsutrymmet enligt artikel 99.8 i AI-förordningen.
I paragrafens 10 mom. föreskrivs om preskription av rätten att påföra administrativ påföljdsavgift. En administrativ påföljdsavgift får inte påföras, om det har förflutit mer än fem år sedan överträdelsen eller försummelsen. Överträdelse av eller försummelsen att iaktta skyldigheterna enligt AI-förordningen kan i många fall vara fortgående. Om överträdelsen eller försummelsen har varit fortgående, räknas den tid vilken har förflutit från det att överträdelsen eller försummelsen har upphört. Skyldigheterna enligt AI-förordningen kan anses vara av sådan art att bestämmandet av påföljder för dem inte är förenat med omständigheter vilka är svåra att utreda, och en preskriptionstid på fem år är därför ändamålsenlig.
20 §. Verkställighet av påföljdsavgift. Bestämmelsen innehåller en informativ hänvisning om att bestämmelser om verkställighet av påföljdsavgifter återfinns i lagen om verkställighet av böter (FFS 672/2002) samt föreskriver att en påföljdsavgift preskriberas när fem år har förflutit från den dag då det lagakraftvunna beslutet om avgiften meddelades. Bestämmelsen genomför delar av artikel 99 i AI-förordningen.
6 kap. Särskilda bestämmelser
21 §. Leverantörens eller ombudets skyldighet att se till att handlingar bevaras. Enligt artikel 18.2 i AI-förordningen ska varje medlemsstat fastställa på vilka villkor den dokumentation som avses i artikel 18.1 ska hållas tillgänglig för de nationella behöriga myndigheterna under den period som anges i den punkten, om en leverantör eller dennes ombud som är etablerad på dess territorium går i konkurs eller upphör med sin verksamhet före utgången av denna period. Enligt artikel 18.1 i AI-förordningen ska leverantören hålla viss dokumentation tillgänglig för de nationella behöriga myndigheternas räkning under en period på 10 år efter det att ett AI-system med hög risk harsläppts ut på marknaden eller tagits i bruk. Vad som ingår i denna dokumentation finns uppräknat i artikel 18.1 led a–e. Skyldigheten gäller sådan teknisk dokumentation som avses i artikel 11 och ska åtminstone innehålla den information som anges i bilaga IV till förordningen.
Till den information som anges i bilaga IV hör bland annat en allmän beskrivning av AI-systemet, en utförlig beskrivning av komponenterna i systemet och av processen för utveckling av AI-systemet, detaljerade uppgifter om övervakning, drift och kontroll av AI-systemet, en beskrivning av lämpligheten hos resultatmåtten för det specifika AI-systemet, en utförlig beskrivning av riskhanteringssystemet i enlighet med artikel 9 och en beskrivning av relevanta ändringar av AI-systemet som görs av leverantören under dess livscykel. Handlingarna ska dessutom innehålla den dokumentation avseende det kvalitetsstyrningssystem som det hänvisas till i artikel 17, EU-försäkran om överensstämmelse enligt artikel 47 och, i tillämpliga fall, dokumentation om de ändringar vilka har godkänts av anmälda organ samt de beslut och andra handlingar vilka utfärdats av de anmälda organen.
I det föreslagna 1 mom. föreskrivs det på det sätt som förordningen förutsätter att leverantören eller ett ombud ska hålla handlingar tillgängliga för tillsynsmyndigheten och den anmälande myndigheten i tio år efter det att ett AI-system med hög risk har släppts ut på marknaden eller tagits i bruk, trots att ett likvidations- eller konkursförfarande eller andra orsaker har lett till att affärsrörelsen har upphört eller frånträtts. Skyldigheten för ombud gäller ombud vilka är etablerade på Åland. Leverantören eller ombudet får självständigt besluta på vilket sätt bevarandet av handlingarna ordnas. Leverantören eller ombudet kan till exempel ingå avtal med en utomstående part om skötseln av handlingarna, eller som ett led i en försäljning av affärsverksamheten komma överens om att den nya ägaren ska sköta dem. De åtgärder som sammanhänger med upphörande med och avvecklande av företagsverksamhet beror på den associationsrättsliga formen och endast en enskild näringsidkare kan upphöra med verksamheten genom en anmälan om nedläggning utan ett officiellt förfarande.
Enligt paragrafens 2 mom. ges landskapsregeringen behörighet att genom landskapsförordning meddela närmare bestämmelser om principer och förfaranden vilka ska iakttas vid bevarande av handlingar. Det kan bland annat handla om skyldigheten att underrätta myndigheten om var handlingarna finns när verksamheten avslutas eller hur de ska bevaras.
22 §. Ändringssökande. Paragrafen innehåller informativa Denna paragraf innehåller informativa hänvisningar för berördas rättsskyddsförutsättning genom ändringssökande, när den har blivit föremål för ett av landskapsregeringens, Datainspektionens eller påföljdsavgiftsnämndens beslut.
Enligt paragrafens 1 mom. finns bestämmelser om sökande av ändring av beslut vilka gäller tillsynsåtgärder enligt marknadskontrollagen och i beslut som gäller föreläggande och utdömande av vite samt föreläggande och verkställighet av hot om tvångsutförande i 26 § i marknadskontrollagen, i vilken en hänvisning sker till 25 § i självstyrelselagen och landskapslagen om tillämpning i landskapet Åland av viteslagen. Enligt 25 § i självstyrelselagen anförs besvär över beslut vilka har fattats av myndigheter under landskapsregeringen hos Ålands förvaltningsdomstol och enligt 25 § 2 mom. i självstyrelselagen anförs besvär över beslut vilka har fattats av landskapsregeringen hos högsta förvaltningsdomstolen.
Enligt paragrafens 2 mom. får berörda organ för bedömning av överensstämmelse och anmälda organ vilka inte är nöjda med ett av den anmälande myndighetens, det vill säga landskapsregeringens, beslut söka ändring genom besvär hos högsta förvaltningsdomstolen, i enlighet med 25 § 2 mom. i självstyrelselagen.
Enligt paragrafens 3 mom. får en berörd operatör eller ett anmält organ vilka inte är nöjda med ett av påföljdsavgiftsnämndens beslut i enlighet med 25 § 1 mom. i självstyrelselagen söka ändring genom besvär hos Ålands förvaltningsdomstol.
Paragrafens 4 mom. innehåller en informativ hänvisning om att ändring söks på det sätt som föreskrivs i lagen om rättegång i förvaltningsärenden.
23 §. Ikraftträdandebestämmelse. Lagen föreslås träda i kraft så snart som möjligt. I enlighet med 20 § 2 mom. i självstyrelselagen föreslås datumet för ikraftträdande lämnas öppet för landskapsregeringen att fatta beslut om.
2. Landskapslag om ändring av 1 och 4 §§ landskapslagen om marknadskontrollen av vissa produkter
1 §. Tillämpningsområde. Till paragrafens 1 mom. fogas en ny 25 punkt, vilken utsträcker lagens tillämpningsområde till att även avse den nya landskapslagen om tillsyn över artificiell intelligens. Laghänvisningen i ingressen har lämnats tom till följd av att bestämmelsen nyligen har ändrats genom en landskapslag om ändring av landskapslagen om marknadskontrollen av vissa produkter, till följd av lagförslaget om landskapslagstiftning om konsumentsäkerhet, LF 27/2024-2025, vilket antogs genom lagtingets beslut 2/2026, vilken ännu inte har tilldelats ett ÅFS-nummer.
4 §. Tillsynsmyndighet. Till paragrafen fogas ett nytt 5 mom., vilket utpekar Datainspektionen till tillsynsmyndighet i enlighet med 4 § 2 mom. i landskapslagen om tillsyn över artificiell intelligens. Laghänvisningen i ingressen har lämnats tom till följd av att bestämmelsen nyligen har ändrats genom en landskapslag om ändring av landskapslagen om marknadskontrollen av vissa produkter, till följd av lagförslaget om landskapslagstiftning om konsumentsäkerhet, LF 27/2024-2025, vilket antogs genom lagtingets beslut 2/2026, vilken ännu inte har tilldelats ett ÅFS-nummer.
Ikraftträdandebestämmelse. Lagen föreslås träda i kraft så snart som möjligt. I enlighet med 20 § 2 mom. i självstyrelselagen föreslås datumet för ikraftträdande lämnas öppet för landskapsregeringen att fatta beslut om.
Lagtext
Landskapsregeringen föreslår att följande lagar antas.
1.
L A N D S K A P S L A G
om tillsyn över artificiell intelligens
I enlighet med lagtingets beslut föreskrivs:
1 kap.
Allmänna bestämmelser
1 §
Tillämpningsområde
Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2024/1689 om harmoniserade regler för artificiell intelligens och om ändring av förordningarna (EG) nr 300/2008, (EU) nr 167/2013, (EU) nr 168/2013, (EU) 2018/858, (EU) 2018/1139 och (EU) 2019/2144 samt direktiven 2014/90/EU, (EU) 2016/797 och (EU) 2020/1828 (förordning om artificiell intelligens, nedan AI-förordningen).
Denna lag tillämpas i enlighet med tillämpningsområdet i artikel 2 i AI-förordningen.
Denna lag tillämpas inte på Ålands lagting och till lagtinget ansluten förvaltning.
2 §
Definitioner
Ord och uttryck i denna lag har samma definition som de har i AI-förordningen.
3 §
Förhållandet till annan lagstiftning
Denna lag ska enbart tillämpas på operatörer och berörda personer vilka omfattas av AI-förordningens tillämpningsområde till den del som dessa bedriver verksamhet eller i övrigt faller inom ramen för Ålands lagstiftningsbehörighet.
Bestämmelser om marknadskontroll återfinns i Europaparlamentets och rådets förordning (EU) 2019/1020 om marknadskontroll och överensstämmelse för produkter och om ändring av direktiv 2004/42/EG och förordningarna (EG) nr 765/2008 och (EU) nr 305/2011 (marknadskontrollförordningen) samt i AI-förordningen.
Bestämmelser om tillsynsmyndigheternas behörigheter vad gäller marknadskontroll samt om sökande av ändring av dessas beslut finns i landskapslagen (2017:37) om marknadskontrollen av vissa produkter (marknadskontrollagen).
Bestämmelser om produkter vilka utgör i artikel 6.1 i AI-förordningen avsedda AI-system med hög risk eller innehåller en säkerhetskomponent som är ett AI-system finns i unionens harmoniseringslagstiftning som ingår i förteckningen i avsnitt A i bilaga I till AI-förordningen och i den landskapslagstiftning som har utfärdats med stöd av den lagstiftningen eller som kompletterar den.
2 kap.
Tillsynsmyndigheter
4 §
Tillsynsmyndigheter
Landskapsregeringen är tillsynsmyndighet enligt artikel 70.1 i AI-förordningen och utövar tillsyn enligt AI-förordningen. Landskapsregeringen ansvarar för alla frågor som rör tillsyn enligt AI-förordningen med undantag för de uppgifter vilka åläggs Datainspektionen enligt 2 mom.
Datainspektionen är tillsynsmyndighet enligt artikel 74.8 i AI-förordningen och utövar tillsyn enligt AI-förordningen.
3 kap.
Anmälande myndighet och anmälda organ
5 §
Anmälande myndighet
Landskapsregeringen är anmälande myndighet enligt artikel 28.1 i AI-förordningen, med ansvar för att fastställa och genomföra de förfaranden som krävs för bedömning, utseende och anmälan av organ för bedömning av överensstämmelse och för övervakning av dessa.
6 §
Utseende av anmälda organ
Den anmälande myndigheten utser organ för bedömning av överensstämmelse till anmält organ. Bestämmelser om ansökan om anmälan och förutsättningarna för utseende återfinns i artiklarna 29–31 i AI-förordningen.
7 §
Anmälda organ och underentreprenörers skötande av vissa offentliga förvaltningsuppgifter
Bestämmelser om anmälda organs skötande av vissa offentliga förvaltningsuppgifter återfinns i artiklarna 34, 44 och 45 i AI-förordningen. De anmälda organen kan i enlighet med artikel 33 i AI-förordningen överföra vissa offentliga förvaltningsuppgifter vilka gäller bedömning av överensstämmelse till underentreprenörer.
På den som är anställd hos ett anmält organ eller dennes underentreprenör tillämpas bestämmelserna om straffrättsligt tjänsteansvar när denna utför de uppgifter som avses i 1 mom. Bestämmelser om skadeståndsansvar återfinns i skadeståndslagen (FFS 412/1974).
4 kap.
Anmälan för vissa AI-system med hög risk
8 §
Anmälningsskyldighet avseende information
Bestämmelser om skyldighet att anmäla information om sådana AI-system med hög risk vilka avses i 2 punkten i bilaga III till AI-förordningen finns i artiklarna 49.5 och 60.4 led c i förordningen.
Operatören ska anmäla de information vilka anges i 9 § till tillsynsmyndigheten. Operatören ska vid behov meddela tillsynsmyndigheten om ändringar i den anmälda informationen.
9 §
Information som ska anmälas
Anmälningsskyldigheten avseende information enligt 8 § avser följande uppgifter:
1) de uppgifter vilka anges i avsnitt A och B i bilaga VIII till AI-förordningen, till den del de gäller leverantören eller ombudet i fråga om ett AI-system,
2) de uppgifter vilka anges i avsnitt C i bilaga VIII till AI-förordningen, med undantag för 4 punkten i avsnitt C, till den del uppgifterna gäller tillhandahållaren av ett AI-system, om denna utgör en myndighet eller handlar på myndighetens vägnar, och
3) de uppgifter vilka anges i bilaga IX till AI-förordningen, vilka ska lämnas om testning av AI-system under verkliga förhållanden, till den del uppgifterna gäller leverantören eller den potentiella leverantören.
10 §
Förordningsbemyndigande
Landskapsregeringen får genom landskapsförordning meddela närmare bestämmelser om de tekniska förfarandena för uppfyllande av anmälningsskyldigheten enligt 8 § och detaljerna i fråga om den information som ska anmälas enligt 9 §.
11 §
Sekretessbestämmelse
Information vilken har anmälts i enlighet med 8 § är sekretessbelagd. På den anmälda informationen tillämpas i övrigt offentlighetslagen (2021:79) för Åland (offentlighetslagen), dock på ett sådant sätt att tillsynsmyndigheten enbart får lämna ut information för de ändamål som anges i 12 § i denna lag och för de ändamål som anges i 13 eller 14 §§ eller 23 § 1 mom. 3–5 punkterna i offentlighetslagen.
12 §
Rätt att utlämna information
Tillsynsmyndigheten har trots sekretessbestämmelser och andra begränsningar vilka gäller utlämnande av information rätt att lämna ut sådan information som enligt 9 § omfattas av skyldigheten att lämna information till Europeiska kommissionen och nationella behöriga myndigheter i riket eller en annan medlemsstat inom Europeiska unionen, till vars tillsynsområde hör sådana AI-system med hög risk vilka avses i 2 punkten i bilaga III till AI-förordningen, om informationen är nödvändig för fullgörandet av deras uppgifter enligt AI-förordningen.
13 §
Avgifter
Bestämmelser om när utlämnande av information ska utgöra en avgiftsbelagd prestation och om avgifternas storlek finns i landskapslagen (1993:27) om grunderna för avgifter till landskapet. Landskapsregeringen beslutar om de uppgifter vilka tas ut av de behöriga myndigheterna.
5 kap.
Tillsyn och efterlevnadskontroll
14 §
Befogenheter vid tillsyn och efterlevnadskontroll
Bestämmelser om tillsynsmyndigheternas befogenheter gentemot operatörer vid tillsyn och efterlevnadskontroll finns i 3 kap. i marknadskontrollagen samt i den landskapslagstiftning vilken har utfärdats med stöd av unionens harmoniseringslagstiftning vilken förtecknas i avsnitt A i bilaga I till AI-förordningen.
15 §
Myndighetssamråd och samarbete
Landskapsregeringen, tillsynsmyndigheten och den anmälande myndigheten ska, när de sköter sina uppgifter enligt AI-förordningen och denna lag och när så är lämpligt, samråda och samarbeta med andra relevanta landskapsmyndigheter och rikets eller andra medlemsstaters behöriga myndigheter enligt AI-förordningen, i den utsträckning det är nödvändigt för att de ska kunna sköta sina uppgifter enligt AI-förordningen, denna lag och lagen om tillsyn över vissa system för artificiell intelligens (FFS 1377/2025) och författningar vilka har utfärdats med stöd av dem.
16 §
Rätt att utlämna information
Landskapsregeringen, tillsynsmyndigheten och den anmälande myndigheten har trots sekretessbestämmelser och andra begränsningar vilka gäller utlämnande av information rätt att till rikets eller andra medlemsstaters behöriga myndigheter enligt AI-förordningen ge ut den information vilken är nödvändig för att de ska kunna sköta sina uppgifter enligt AI-förordningen, denna lag och lagen om tillsyn över vissa system för artificiell intelligens och författningar vilka har utfärdats med stöd av dem.
17 §
Vite och hot om tvångsutförande
Bestämmelser om tillsynsmyndighetens behörighet att förena sitt förbud eller sitt föreläggande med vite eller med hot om att den åtgärd som inte vidtagits utförs på den försumliges bekostnad finns i 25 § i marknadskontrollagen.
Informationsskyldigheten enligt artikel 21.1, artikel 22.3 led c, artikel 23.6 och artikel 24.5 i AI-förordningen får dock inte förenas med ett vitesföreläggande riktat till en fysisk person, om det finns skäl att misstänka personen för brott och informationen har samband med ett ärende som brottsmisstanken hänför sig till.
18 §
Påföljdsavgiftsnämnd
Landskapsregeringen ska utse en till denna ansluten påföljdsavgiftsnämnd för tillsynen över AI-system, vilken på framställan ifrån tillsynsmyndigheten kan påföra operatörer och anmälda organ administrativa påföljdsavgifter. Landskapsregeringen bestämmer i samband med påföljdsavgiftsnämndens tillsättande om ledamöternas ersättning.
Påföljdsavgiftsnämnden ska bestå av en ordförande, en vice ordförande och minst två övriga ledamöter och personliga ersättare för dem. Nämndens ledamöter och ersättare ska vara förtrogna med AI-system och AI-modeller, samt de skyldigheter vilka ankommer på operatörer och anmälda organ enligt AI-förordningen, denna lag och författningar utfärdade med stöd av dessa. Påföljdsavgiftsnämndens ordförande och vice ordförande ska därutöver ha sådan tillräcklig juridisk sakkunskap vilken uppdraget förutsätter. Påföljds-avgiftsnämndens ledamöter utses för en period om fem år i taget. Nämndens ledamöter ska agera oberoende och opartiskt i sitt uppdrag.
Påföljdsavgiftsnämnden ska fatta sina beslut efter föredragning. Föredragande är den tjänsteman vid tillsynsmyndigheten vilken handlägger tillsynsärenden enligt AI-förordningen och denna lag. Påföljdsavgiftsnämnden är beslutsför när ordföranden eller vice ordföranden och minst två andra ledamöter eller ersättare är närvarande. Det utslag vilket flertalet har understött ska gälla som påföljdsavgiftsnämndens beslut. Vid lika röstetal gäller det utslag vilket är lindrigare för den vilken påföljden riktas emot.
Påföljdsavgiftsnämnden har oberoende av sekretessbestämmelserna rätt att avgiftsfritt av tillsynsmyndigheten, den anmälande myndigheten och det anmälda organet få den information som är nödvändig för påförande av påföljdsavgiften eller för beräkning av dess belopp.
19 §
Administrativ påföljdsavgift
Påföljdsavgiftsnämnden kan på framställan av tillsynsmyndigheten genom beslut ålägga en operatör eller ett anmält organ, vilka uppsåtligen eller av oaktsamhet bryter mot eller försummar deras skyldigheter enligt AI-förordningen eller denna lag, att erlägga en administrativ påföljdssavgift. Den administrativa påföljdsavgiften ska tillfalla landskapet.
Påföljdsavgiftsnämnden ska i varje enskilt fall vid beslut om huruvida en administrativ påföljdsavgift ska åläggas och om storleken på densamma beakta alla relevanta omständigheter i det specifika fallet och ta vederbörlig hänsyn, i förekommande fall, till följande:
1) överträdelsens eller försummelsens art, svårighetsgrad och varaktighet samt dess konsekvenser med beaktande av det berörda AI-systemets syfte samt, när så är lämpligt, antalet berörda personer och omfattningen av den skada som de har lidit,
2) huruvida administrativa påföljdsavgifter redan har påförts av behöriga myndigheter, domstolar eller andra organ i riket eller andra medlemsstater inom Europeiska unionen på samma operatör eller anmälda organ för samma överträdelse eller försummelse,
3) huruvida administrativa sanktionsavgifter redan har påförts av behöriga myndigheter, domstolar eller andra organ i riket eller andra medlemsstater inom Europeiska unionen på samma operatör eller anmälda organ för överträdelser eller försummelser av skyldigheter enligt annan unionsrätt eller åländsk eller nationell rätt, när sådana överträdelser eller försummelser beror på samma verksamhet, vilken utgör en relevant överträdelse eller försummelse av AI-förordningen eller denna lag,
4) storleken på, årsomsättningen och marknadsandelen för den operatör eller det anmälda organ som har begått överträdelsen eller försummelsen,
5) eventuell annan försvårande eller förmildrande faktor vilken är tillämplig på omständigheterna i fallet, såsom ekonomisk vinst som görs eller förlust som undviks, direkt eller indirekt, genom överträdelsen eller försummelsen,
6) operatören eller det anmälda organets grad av samarbete med tillsynsmyndigheten för att komma till rätta med överträdelsen eller försummelsen och att minska dess potentiella negativa effekter,
7) operatörens eller det anmälda organets grad av ansvar med beaktande av de tekniska och organisatoriska åtgärder vilka de har genomfört,
8) det sätt på vilket överträdelsen eller försummelsen kom till tillsynsmyndighetens kännedom, särskilt huruvida, och i sådana fall i vilken mån, anmälan gjordes av operatören eller det anmälda organet i fråga,
9) om överträdelsen eller försummelsen har skett med uppsåt eller genom oaktsamhet,
10) alla åtgärder vilka har vidtagits av operatören eller det anmälda organet för att minska den skada som berörda personer har lidit.
Påföljdsavgiftsnämnden får påföra en operatör en administrativ påföljdsavgift om denna uppsåtligen eller av oaktsamhet bryter mot bestämmelserna om förbjudna AI-användningsområden i artikel 5 i AI-förordningen. En administrativ påföljdsavgift vilken påförs enligt detta moment ska som högst uppgå till 35 000 000 euro, eller om överträdelsen begås av ett företag, upp till 7 procent av dess totala globala årsomsättning för det föregående räkenskapsåret, beroende på vilket som är högst.
Påföljdsavgiftsnämnden får påföra en operatör eller ett anmält organ en administrativ påföljdsavgift om de uppsåtligen eller av oaktsamhet bryter mot eller försummar följande skyldigheter:
1) leverantörers skyldigheter enligt artikel 16 i AI-förordningen,
2) ombuds skyldigheter enligt artikel 22 i AI-förordningen,
3) importörers skyldigheter enligt artikel 23 i AI-förordningen,
4) distributörers skyldigheter enligt artikel 24 i AI-förordningen,
5) tillhandahållares skyldigheter enligt artikel 26 i AI-förordningen,
6) kraven och skyldigheterna för anmälda organ enligt artiklarna 31, 33.1, 33.3, 33.4 eller 34 i AI-förordningen, och
7) transparensskyldigheterna för leverantörer och tillhandahållare enligt artikel 50 i AI-förordningen.
En administrativ påföljdsavgift vilken påförs enligt detta moment ska som högst uppgå till 15 000 000 euro, eller om överträdelsen begås av ett företag, upp till 3 procent av dess totala globala årsomsättning för det föregående räkenskapsåret, beroende på vilket som är högst.
Påföljdsavgiftsnämnden får påföra en operatör eller ett anmält organ en administrativ påföljdsavgift om de tillhandahåller oriktig, ofullständig eller vilseledande information till tillsynsmyndigheten, anmälande myndigheten eller ett anmälande organ som svar på en begäran eller ett informationsföreläggande. En administrativ påföljdsavgift vilken påförs enligt detta moment ska som högst uppgå till 7 500 000 euro eller, om överträdelsen begås av ett företag, upp till 1 procent av dess totala globala årsomsättning för det föregående räkenskapsåret, beroende på vilket som är högst.
Administrativa påföljdsavgifter vilka påförs sådana mikroföretag, små företag eller medelstora företag som avses i Europeiska kommissionens rekommendation (2003/361/EG) om definitionen av mikroföretag samt små och medelstora företag, ska som högst uppgå till de procentsatser eller belopp som avses i 3, 4 och 5 mom., beroende på vilket som är lägst.
En administrativ påföljdsavgift påförs inte om överträdelsen eller försummelsen ska anses vara ringa eller påförande av påföljdsavgift måste anses uppenbart oskäligt.
En administrativ påföljdsavgift får inte påföras en fysisk person som:
1) misstänks för samma gärning i en förundersökning, en åtalsprövning eller ett brottmål vilket är anhängigt vid en domstol,
2) genom en lagakraftvunnen dom har dömts för samma gärning, eller
3) har försummat en informationsskyldighet, om det finns anledning att misstänka personen för brott och informationen har samband med det ärende som brottsmisstanken hänför sig till.
En administrativ påföljdsavgift får inte påföras landskapsregeringen och dess underlydande myndigheter och inrättningar samt kommunala myndigheter.
En administrativ påföljdsavgift får inte påföras om det har förflutit mer än fem år sedan överträdelsen eller försummelsen har skett. Om överträdelsen eller försummelsen har varit fortlöpande räknas den femåriga tidsfristen från det att överträdelsen eller försummelsen har upphört.
20 §
Verkställighet av påföljdsavgift
Bestämmelser om verkställighet av påföljdsavgifter finns i lagen om verkställighet av böter (FFS 672/2002). En påföljdsavgift preskriberas när fem år har förflutit från den dag då det lagakraftvunna beslutet om avgiften meddelades.
6 kap.
Särskilda bestämmelser
21 §
Leverantörens eller ombudets skyldighet att se till att handlingar bevaras
Leverantören eller ett ombud som är etablerat på Åland ska säkerställa att de handlingar vilka avses i artikel 18.1 i AI-förordningen hålls tillgängliga för tillsynsmyndigheten och den anmälande myndigheten i tio år efter det att ett AI-system med hög risk har släppts ut på marknaden eller har tagits i bruk, trots ett likvidations- eller konkursförfarande eller andra orsaker till att affärsrörelsen har upphört eller frånträtts.
Landskapsregeringen får genom landskapsförordning meddela närmare bestämmelser om principer och förfaranden vilka ska iakttas vid bevarande av de handlingar som avses i 1 mom.
22 §
Ändringssökande
Bestämmelser om sökande av ändring av beslut vilka gäller tillsynsåtgärder enligt marknadskontrollagen och i beslut som gäller föreläggande och utdömande av vite samt föreläggande och verkställighet av hot om tvångsutförande finns i 26 § i marknadskontrollagen.
Berörda organ för bedömning av överensstämmelse och anmälda organ vilka inte är nöjda med ett av den anmälande myndighetens beslut får söka ändring genom besvär hos högsta förvaltningsdomstolen.
Berörda operatörer och anmälda organ vilka inte är nöjda med ett av påföljdsavgiftsnämndens beslut får söka ändring genom besvär hos Ålands förvaltningsdomstol.
Ändring söks på det sätt som föreskrivs i lagen om rättegång i förvaltningsärenden (FFS 808/2019).
23 §
Ikraftträdande
Denna lag träder i kraft den
2.
L A N D S K A P S L A G
om ändring av 1 och 4 §§ landskapslagen om marknadskontrollen av vissa produkter
I enlighet med lagtingets beslut fogas till 1 § 1 mom. landskapslagen (2017:37) om marknadskontrollen av vissa produkter, en ny 25 punkt och till 4 § ett nytt 5 mom., sådana de lyder i landskapslagen / , som följer:
1 §
Tillämpningsområde
I denna lag finns bestämmelser om tillsyn och övervakning av om vissa produkter överensstämmer med gällande tillgänglighets- och produktsäkerhetskrav (marknadskontroll). Denna lag är tillämplig på den marknadskontroll som omfattas av tillämpningsområdet för följande lagstiftning, om inte något annat föreskrivs i någon av följande lagar:
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
25) Landskapslagen ( : ) om tillsyn över artificiell intelligens.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
4 §
Tillsynsmyndighet
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Datainspektionen är tillsynsmyndighet enligt 4 § 2 mom. i landskapslagen om tillsyn över artificiell intelligens.
Denna lag träder i kraft den
| Mariehamn den 9 april 2026 | |
|
L a n t r å d |
Katrin Sjögren |
|
Föredragande minister |
Ingrid Zetterman |
Parallelltexter
· Parallelltexter till landskapsregeringens lagförslag nr 15/2025-2026
[1] Kommissionens riktlinjer om definitionen av ett system för artificiell intelligens enligt förordning (EU) 2024/1689 (AI-förordningen), Bryssel den 29 juli 2025, C(2025) 5053 final.
[2] Kommissionens riktlinjer om omfattningen av skyldigheterna för leverantörer av AI-modeller för allmänna ändamål enligt förordning (EU) 2024/1689 (AI-förordningen), Bryssel den 18 juli 2025, C(2025) 5045 final
[3] Kommissionens genomförandeförordning (EU) 2025/454 om tillämpningsföreskrifter för Europaparlamentets och rådets förordning (EU) 2024/1689 vad gäller inrättande av en vetenskaplig panel av oberoende experter på området artificiell intelligens.