EU:s AI-förordning tillsynas inte av en enda Brysselbaserad myndighet. Nationella marknadskontrollmyndigheter har det primära ansvaret för leverantör och tillhandahållare avseende högrisk- och förbjudna AI-system. Europeiska AI-kontoret ansvarar för leverantör av AI-modeller för allmänna ändamål. Europeiska datatillsynsmannen övervakar unionsinstitutioner. Den här sidan kartlägger tillsynsarkitekturen och går igenom hur böter enligt artiklarna 99 och 101 faktiskt beräknas.
Tillsynsarkitekturen i en överblick
- Nationella marknadskontrollmyndigheter (artikel 70). Varje medlemsstat utser minst en anmälande myndighet och minst en marknadskontrollmyndighet för AI-system. Dessa är de organ som hanterar leverantör, importörer, distributörer och tillhandahållare avseende högrisk-AI-system och förbjudna AI-metoder.
- Europeiska AI-kontoret (artikel 64 och kapitel IX avsnitt 2). Inrättat inom Europeiska kommissionen. Innehar den exklusiva befogenheten att övervaka och tillämpa skyldigheter för leverantör av AI-modeller för allmänna ändamål enligt kapitel V.
- Europeiska rådet för artificiell intelligens (artikel 65). Sammansatt av en representant per medlemsstat. Samordnar nationella myndigheter, utfärdar yttranden, rekommendationer och bästa praxis, och bidrar till en konsekvent tillämpning i hela unionen.
- Rådgivande forumet (artikel 67) och den vetenskapliga expertpanelen (artikel 68). Bidrag från intressenter och experter till AI-kontoret och rådet.
- Europeiska datatillsynsmannen (artikel 100). Fungerar som marknadskontrollmyndighet för unionsinstitutioner, organ och byråer enligt AI-förordningen, utom för domstolen i dess dömande verksamhet.
- Dataskyddsmyndigheter (artikel 74(8)). För högrisk-AI-system som förtecknas i punkterna 1, 6 och 7 i Bilaga III och som används av brottsbekämpande organ, gränsmyndigheter, rättsväsendet och demokratiinstitutioner utser medlemsstaterna som marknadskontrollmyndigheter antingen de behöriga dataskyddstillsynsmyndigheterna enligt förordning (EU) 2016/679 eller direktiv (EU) 2016/680, eller en annan myndighet som utsetts under samma villkor.
- Finanstillsynsmyndigheter (artikel 74(6) och (7)). För högrisk-AI-system som förtecknas i punkt 5(b) i Bilaga III och som släpps ut på marknaden, tas i drift eller används av finansinstitut som regleras av unionens finansmarknadslagstiftning, är marknadskontrollmyndigheten den relevanta nationella myndighet som ansvarar för den finansiella tillsynen av dessa institut enligt den lagstiftningen.
Artikel 99 — tre nivåer av administrativa böter
Artikel 99(1) kräver att medlemsstaterna fastställer regler om de påföljder som ska tillämpas på operatörers överträdelser av förordningen, vidtar alla nödvändiga åtgärder för att säkerställa att de tillämpas på ett korrekt och effektivt sätt, och föreskriver effektiva, proportionerliga och avskräckande påföljder. Artikel 99(3) till (5) fastställer taken:
- Artikel 99(3) — upp till EUR 35 000 000 eller 7 % av den totala globala årsomsättningen, det högsta av dessa. För bristande efterlevnad av förbudet mot AI-metoder som avses i artikel 5.
- Artikel 99(4) — upp till EUR 15 000 000 eller 3 % av den totala globala årsomsättningen, det högsta av dessa. För bristande efterlevnad av leverantörs, auktoriserade representanters, importörers, distributörers och tillhandahållarens skyldigheter, kraven på anmälda organ och transparensskyldigheterna enligt artikel 50 — utöver dem som förtecknas i artikel 99(3).
- Artikel 99(5) — upp till EUR 7 500 000 eller 1 % av den totala globala årsomsättningen, det högsta av dessa. För tillhandahållande av felaktiga, ofullständiga eller vilseledande uppgifter till anmälda organ eller nationella behöriga myndigheter som svar på en begäran.
SME-regeln — artikel 99(6)
För SME:er, inklusive nystartade företag, ska varje böter som avses i artikel 99 uppgå till högst de procentsatser eller det belopp som anges i styckena 3–5, det lägsta av dessa. För större operatörer är regeln den omvända (det högsta av de två). Detta är en avsiktlig proportionalitetsåtgärd för SME:er.
Vad en nationell myndighet väger in — artikel 99(7)
Artikel 99(7) listar de faktorer som myndigheten måste beakta när den beslutar om att påföra administrativa böter och beloppet, i varje enskilt fall:
- överträdelsens art, allvar och varaktighet samt dess konsekvenser;
- huruvida andra marknadskontrollmyndigheter redan har påfört böter mot samma operatör för samma överträdelse;
- huruvida böter redan har påförts av andra myndigheter mot samma operatör för överträdelser av annan unions- eller nationell rätt, när sådana överträdelser härrör från samma verksamhet eller underlåtenhet som utgör en relevant överträdelse av denna förordning;
- operatörens storlek, årsomsättning och marknadsandel;
- andra försvårande eller förmildrande omständigheter som är tillämpliga på omständigheterna i fallet, exempelvis ekonomiska fördelar som erhållits, eller förluster som undvikits, direkt eller indirekt, till följd av överträdelsen;
- graden av samarbete med de nationella behöriga myndigheterna;
- graden av operatörens ansvar med beaktande av de tekniska och organisatoriska åtgärder som denne vidtagit;
- på vilket sätt överträdelsen kom till de nationella behöriga myndigheternas kännedom, i synnerhet huruvida, och i så fall i vilken utsträckning, operatören anmälde överträdelsen;
- huruvida överträdelsen är avsiktlig eller beror på oaktsamhet;
- åtgärder som operatören vidtagit för att mildra den skada som drabbade personer lidit.
Artikel 101 — de dedikerade GPAI-böterna
Artikel 101(1) ger kommissionen befogenhet att påföra leverantör av AI-modeller för allmänna ändamål böter på upp till 3 % av deras totala globala årsomsättning för föregående räkenskapsår eller EUR 15 000 000, det högsta av dessa, när kommissionen konstaterar att leverantören avsiktligt eller av oaktsamhet har brutit mot relevanta bestämmelser i förordningen, underlåtit att efterkomma en begäran om ett dokument eller information enligt artikel 91, underlåtit att efterleva en åtgärd som begärts enligt artikel 93, eller underlåtit att ge kommissionen tillgång till AI-modellen för allmänna ändamål eller AI-modellen för allmänna ändamål med systemrisk i syfte att genomföra en utvärdering enligt artikel 92.
Artikel 101(2) kräver att kommissionen vid fastställandet av bötesbeloppet eller det periodiska vitebeloppet beaktar överträdelsens art, allvar och varaktighet, med vederbörlig hänsyn till proportionalitetsprincipen och lämplighetsprincipen.
Rättsliga skyddsåtgärder för den påstådde överträdaren
- Rätt att yttra sig (artikel 101(3) för GPAI; allmän förvaltningsrätt för nationella myndigheter). Innan ett beslut fattas enligt artikel 101(1) måste kommissionen meddela leverantören av AI-modellen för allmänna ändamål sina preliminära slutsatser och ge denne möjlighet att yttra sig.
- Rätt till ett effektivt rättsmedel (GDPR artikel 78-analogin; AI-förordningens skäl om effektiva rättsmedel). Tillsynsmyndigheters beslut kan överklagas till förvaltningsdomstol enligt nationell förvaltningsrätt och, i sista hand, stadgan om de grundläggande rättigheterna.
- Berörda personer — artikel 85. Varje fysisk eller juridisk person som har grundad anledning att anse att en överträdelse har ägt rum kan lämna in klagomål till den relevanta marknadskontrollmyndigheten.
- Rätt till förklaring — artikel 86. Varje berörd person som är föremål för ett beslut fattat av den tillhandahållaren på grundval av utdata från ett högrisk-AI-system som förtecknas i Bilaga III, med undantag för punkt 2, och som ger upphov till rättsliga effekter eller på liknande sätt väsentligt påverkar den personen på ett sätt som denne anser ha en negativ inverkan på dennes hälsa, säkerhet eller grundläggande rättigheter, har rätt att av den tillhandahållaren erhålla tydliga och meningsfulla förklaringar av AI-systemets roll i beslutsprocessen och de viktigaste elementen i det fattade beslutet.
Vanliga missuppfattningar
- "Böter enligt artikel 99 är enhetliga i hela EU." Taken är enhetliga; de faktiska genomförandereglerna, förfarandena och tillsynsorganen fastställs av varje medlemsstat enligt artikel 99(1).
- "AI-kontoret utdömer böter mot tillhandahållare." AI-kontorets direkta tillsynsbefogenhet enligt artikel 101 gäller leverantör av AI-modeller för allmänna ändamål. Tillhandahållare tillsynas av den nationella marknadskontrollmyndigheten i medlemsstaten.
- "SME:er får 50 % rabatt." SME-regeln är strukturell: taket är det lägre av procentsatsen och det absoluta beloppet, inte en rabatt.
- "Man kan bara bötfällas för överträdelser avseende högrisk-AI." Transparensskyldigheterna i artikel 50 har bötestaket på nivå 2 i artikel 99(4), även för system som inte är högrisk.
Relaterade EU-guider
- EU:s AI-förordning tidslinje för tillhandahållare
- Mänsklig tillsyn — Artikel 14
- Registerföring och loggning — Artikel 12
- Datastyrning och biastestning — Artikel 10
- NIS2 väsentliga och viktiga entiteter
Källor
- Förordning (EU) 2024/1689, artiklarna 50, 64, 65, 67, 68, 70, 74, 78, 85, 86, 88, 91, 92, 93, 99, 100, 101 — EUR-Lex: https://eur-lex.europa.eu/eli/reg/2024/1689/oj
- Europeiska kommissionen — Översikt över Europeiska AI-kontoret: https://digital-strategy.ec.europa.eu/en/policies/ai-office
Obs: Nationell genomförandelagstiftning och utseende av behöriga myndigheter varierar mellan medlemsstaterna. PowerQuant tillhandahåller efterlevnadsdokumentation och företräder inte operatörer i förfaranden. För jurisdiktionsspecifik rådgivning, konsultera ett juridiskt ombud verksamt i den aktuella medlemsstaten.