PowerQuantSESkicka ert frågeformulär

Registerföring & loggning enligt artikel 12 i EU:s AI-förordning

Loggar är den revisionsspår som gör det möjligt för en tillsynsmyndighet, en domstol eller en intern utredare att rekonstruera vad ett högrisk-AI-system faktiskt gjorde. Artikel 12 i förordning (EU) 2024/1689 lägger design­skyldigheten på leverantören. Artikel 19 och artikel 26(6) lägger en bevaringsskyldighet på både leverantören och den tillhandahållaren. Denna sida täcker vad som ska loggas, vad som är speciellt med fjärrbiometrisk identifiering och hur protokollen matar in i artiklarna 72, 73 och 79.

Kärnförpliktelsen — artikel 12(1) och (2)

Artikel 12(1) kräver att högrisk-AI-system tekniskt möjliggör automatisk registrering av händelser ("loggar") under systemets livstid. Loggnings­kapaciteten måste vara förenlig med erkända standarder eller gemensamma specifikationer, när sådana standarder eller specifikationer finns tillgängliga.

Artikel 12(2) anger syftet: loggnings­kapaciteterna måste möjliggöra registrering av händelser relevanta för (a) identifiering av situationer som kan leda till att högrisk-AI-systemet utgör en risk inom ramen för artikel 79(1) eller leder till en väsentlig ändring, (b) underlättande av marknadsövervakning efter utsläppandet enligt artikel 72, och (c) övervakning av driften av högrisk-AI-system enligt artikel 26(5) av de tillhandahållare.

Minimiuppsättningen loggar för fjärrbiometrisk identifiering — artikel 12(3)

För högrisk-AI-system som avses i punkt 1(a) i bilaga III (fjärrbiometrisk identifiering) fastställer artikel 12(3) en minimiuppsättning loggar. Loggnings­kapaciteterna måste minst tillhandahålla:

  • registrering av perioden för varje användning av systemet (startdatum och -tid samt slutdatum och -tid för varje användning);
  • referensdatabasen mot vilken indata har kontrollerats av systemet;
  • de indata för vilka sökningen har resulterat i en matchning;
  • identifieringen av de fysiska personer som är involverade i verifieringen av resultaten, som avses i artikel 14(5).

För andra högrisk-system enligt bilaga III (inklusive HR-/anställnings­system enligt punkt 4) föreskriver artikel 12 ingen sluten lista. Leverantören väljer den uppsättning registrerade händelser som uppfyller artikel 12(2)(a)–(c), dokumenterar den i den tekniska dokumentationen enligt bilaga IV och tillgängliggör den via bruksanvisningarna enligt artikel 13.

Leverantörens bevaringsskyldighet — artikel 19

Artikel 19(1) kräver att leverantör av högrisk-AI-system bevarar de loggar som avses i artikel 12(1) och som automatiskt genereras av deras högrisk-AI-system, i den utsträckning sådana loggar är under deras kontroll. Utan hinder av tillämplig unions- eller nationell rätt måste loggarna bevaras under en period lämplig för det avsedda ändamålet med högrisk-AI-systemet, om minst sex månader, om inte annat föreskrivs i tillämplig unions- eller nationell rätt, i synnerhet i unionsrätten om skydd av personuppgifter.

Den tillhandahållarens bevaringsskyldighet — artikel 26(6)

Artikel 26(6) lägger en parallell bevaringsskyldighet på tillhandahållare för högrisk-AI-system. Tillhandahållare måste bevara de loggar som automatiskt genereras av det högrisk-AI-systemet i den utsträckning sådana loggar är under deras kontroll, under en period lämplig för det avsedda ändamålet med högrisk-AI-systemet, om minst sex månader, om inte annat föreskrivs i tillämplig unions- eller nationell rätt, i synnerhet i unionsrätten om skydd av personuppgifter.

För tillhandahållare som är finansinstitut med krav på intern styrning, arrangemang eller processer enligt unionsrätten för finansiella tjänster, måste loggarna bevaras som en del av dokumentationen som förvaras i enlighet med relevant unionsrätt för finansiella tjänster.

Var loggarna faktiskt används

  • Marknadsövervakning efter utsläppandet enligt artikel 72. Leverantör måste upprätta ett system för marknadsövervakning efter utsläppandet som kontinuerligt samlar in och analyserar data om systemets prestanda — loggar är det primära underlaget.
  • Rapportering av allvarliga incidenter enligt artikel 73. Leverantör rapporterar allvarliga incidenter till marknadskontrollmyndigheter. Utan loggar finns ingen incidentrekonstruktion.
  • Riskhanteringsutlösare enligt artikel 79. "Risk"-händelser identifierade via loggning är utlösaren för ny bedömning, korrigerande åtgärder och, i förekommande fall, återkallelse eller tillbakadragande enligt artikel 20.
  • Avbrytningsskyldighet enligt artikel 26(5). När tillhandahållare identifierar, baserat på övervakning av driften, att användning i enlighet med bruksanvisningarna kan leda till att AI-systemet utgör en risk inom ramen för artikel 79(1), måste de utan onödigt dröjsmål informera leverantören eller distributören och den relevanta marknadskontrollmyndigheten samt avbryta användningen.

Vanliga missuppfattningar

  • "Leverantören lagrar loggarna — det räcker." Artikel 26(6) är en oberoende skyldighet för tillhandahållare: du måste förvara de loggar som är under din kontroll i minst sex månader.
  • "Loggar är bara för ingenjörer." De utgör bevisning för marknadsövervakning efter utsläppandet (art. 72), incidentrapportering (art. 73), marknadskontrollmyndigheternas undersökningar (art. 74) och informationsförfrågningar enligt artikel 26(11) från berörda personer i vissa scenarier.
  • "Sex månader är taket." Artiklarna 19 och 26(6) säger minst sex månader. Den faktiska perioden måste vara "lämplig för det avsedda ändamålet" och respektera GDPR:s lagrings­begränsning enligt artikel 5(1)(e).
  • "Loggar är undantagna från GDPR." Där loggar innehåller personuppgifter gäller GDPR parallellt. Artiklarna 12 och 19 hänvisar explicit till unionsrätten om dataskydd.

Relaterade EU-guider

Källor

  • Förordning (EU) 2024/1689, artiklarna 12, 14, 19, 20, 26, 72, 73, 74, 79 — EUR-Lex: eur-lex.europa.eu/eli/reg/2024/1689/oj
  • Europeiska kommissionen — AI Act Service Desk, artikel 12: ai-act-service-desk.ec.europa.eu/en/ai-act/article-12

Obs: Loggbevaringsperioder kan förlängas eller förkortas av sektorsspecifik unions- eller nationell rätt (i synnerhet GDPR:s lagrings­begränsning enligt artikel 5(1)(e)). PowerQuant tillhandahåller mallar för den tillhandahållarens loggbevaringsprotokoll — inte juridisk rådgivning.