Załącznik III AIAct zalicza do systemów wysokiego ryzyka m.in. rozwiązania służące rekrutacji, podejmowaniu decyzji kadrowych (warunki pracy, awans, rozwiązanie umowy, przydział zadań) oraz monitorowaniu lub ocenie wydajności. Podmioty je stosujące mają obowiązki m.in. w zakresie podnoszenia kompetencji, korzystania zgodnie z instrukcją obsługi, nadzoru ludzkiego, zapewnienia jakości danych treningowych, testowych, walidacyjnych monitorowania i zgłaszania ryzyk, przechowywania logów oraz informowania pracowników o użyciu systemu. Naruszenia mogą skutkować administracyjnymi karami pieniężnymi do 15 mln EUR lub 3% światowego obrotu (z łagodniejszymi progami dla MŚP).
W załączniku III AIAct jako systemy AI wysokiego ryzyka zostały wprost zaklasyfikowane systemy AI przeznaczone do:
1) wykorzystywania do celów rekrutacji lub wyboru osób fizycznych,
2) do celów podejmowania decyzji wpływających na warunki stosunków pracy, decyzji o awansie lub rozwiązaniu umownego stosunku pracy, przydzielania zadań w oparciu o indywidualne zachowanie lub cechy osobowości lub charakter lub do monitorowania lub oceny wydajności zachowania osób pozostających w takich stosunkach.
Zgodnie z art. 6 ust. 3–4 AIAct, systemy AI stosowane w obszarach z załącznika III nie będą uznane za wysokiego ryzyka, jeśli nie wywierają istotnego wpływu na decyzje ani na chronione interesy prawne przy spełnieniu szczególnych warunków tam opisanych.
W stosunku do systemów AI wysokiego ryzyka, AIAct nakłada obowiązki na wszystkich operatorów – dostawców, importerów, dystrybutorów i podmiotów stosujących AI. Ten ostatni jest rozumiany jako każdy podmiot, który używa systemu AI we własnym zakresie i pod własną kontrolą.
Podstawowym obowiązkiem podmiotów stosujących jest budowanie odpowiednich kompetencji w zakresie AI wśród swojego personelu oraz osób działających w ich imieniu przy obsłudze i wykorzystaniu systemów AI rozumianych jako „umiejętności, wiedzę oraz zrozumienie, które pozwalają dostawcom, podmiotom stosującym i osobom, na które AI ma wpływ – z uwzględnieniem ich odnośnych praw i obowiązków w kontekście AIAct – w przemyślany sposób wdrażać systemy sztucznej inteligencji oraz mieć świadomość, jakie możliwości i ryzyka wiążą się z AI oraz jakie potencjalne szkody może ona wyrządzić”. Jest to obowiązek niezależny od tego czy dana organizacja stosuje systemy AI wysokiego ryzyka czy nie.
Z kolei trzonem obowiązków podmiotów stosujących AI wobec systemów AI wysokiego ryzyka jest art. 26 AIAct. Podstawowym obowiązkiem jest wdrożenie adekwatnych środków technicznych i organizacyjnych zapewniających korzystanie z systemów AI wysokiego ryzyka zgodnie z dołączoną instrukcją obsługi, która została przekazana przez dostawcę danego systemu AI. Wymóg stworzenia takiej instrukcji obsługi łącznie z wytycznymi dotyczących jej sporządzenia również jest przedmiotem regulacji wynikającej z AIAct.
Kolejnym obowiązkiem podmiotu stosującego jest zapewnienie nadzoru ludzkiego sprawowanego przez osoby posiadające odpowiednie kompetencje, przeszkolenie i umocowane oraz zapewnić im konieczne wsparcie organizacyjne. Środki nadzoru muszą być współmierne do ryzyka, poziomu autonomii i kontekstu wykorzystywania danego systemu AI wysokiego ryzyka.
Kolejny obowiązek, kluczowy z perspektywy wdrożenia systemu AI jest obowiązek zapewnienia adekwatnych, wystarczająco reprezentatywnych oraz w jak największym stopniu wolnych od błędów i kompletnych z punktu widzenia przeznaczenia zbiorów danych treningowych, walidacyjnych oraz testowych. Obowiązek ten ma zastosowanie w zakresie, w jakim podmiot stosujący AI sprawuje kontrolę nad danymi wejściowymi.
Po trzecie, w zakresie, w jakim kontroluje dane wejściowe, jest zobowiązany zapewnić ich adekwatność i reprezentatywność względem zamierzonego celu użycia.
Jeżeli istnieją uzasadnione podstawy, by sądzić, że użycie systemu zgodne z instrukcją może powodować powstanie ryzyka w rozumieniu art. 79 ust. 1 AIAct, podmiot stosujący niezwłocznie informuje o tym dostawcę lub dystrybutora oraz właściwy organ nadzoru rynku, a także zawiesza eksploatację systemu. W razie stwierdzenia poważnego incydentu podmiot stosujący niezwłocznie informuje w pierwszej kolejności dostawcę, a następnie importera lub dystrybutora oraz właściwe organy nadzoru rynku. Jeżeli kontakt z dostawcą jest niemożliwy, odpowiednie zastosowanie znajduje art. 73 AIAct.
Podmioty stosujące systemy AI wysokiego ryzyka przechowują również automatycznie generowane przez te systemy rejestry zdarzeń – w zakresie, w jakim pozostają one pod ich kontrolą – przez okres adekwatny do przeznaczenia danego systemu, wynoszący, co do zasady, co najmniej sześć miesięcy, o ile przepisy prawa UE lub prawa krajowego, w szczególności dotyczące ochrony danych osobowych, nie stanowią inaczej. W przypadku instytucji finansowych logi stanowią element dokumentacji prowadzonej zgodnie z właściwymi przepisami unijnymi w obszarze usług finansowych.
Przed oddaniem do użytku lub wykorzystaniem systemu AI wysokiego ryzyka w miejscu pracy podmioty stosujące będące pracodawcami są zobowiązane poinformować przedstawicieli pracowników oraz pracowników, których to dotyczy, o planowanym użyciu takiego systemu. Informacje te przekazuje się – w stosownych przypadkach – zgodnie z zasadami i procedurami ustanowionymi w prawie unijnym i prawie krajowym oraz zgodnie z utrwaloną praktyką w zakresie informowania pracowników i ich przedstawicieli.
Naruszenie obowiązków może skutkować karą administracyjną do 15 000 000,00 mln EUR lub 3% światowego rocznego obrotu (w zależności od tego, która wartość jest wyższa; dla MŚP stosuje się niższe progi względne).
