Source: OJ L, 2024/1689, 12.7.2024Current language: SV
- Artificial intelligence act
Basic legislative acts
- AI act regulation
Artikel 78 Konfidentiell behandling
Summary What does Article 78 of the AI act regulation say?
This article establishes the confidentiality obligations that apply to all parties involved in the application of the regulation — including the Commission, market surveillance authorities, notified bodies, and any other natural or legal person carrying out tasks under it.
It sets out a broad duty to protect information obtained in the course of those tasks, covering trade secrets, source code, security interests, ongoing proceedings, and classified information.
The article is referenced extensively throughout the regulation wherever sensitive information is accessed or exchanged, making it a foundational cross-cutting provision.
It also includes specific rules for particularly sensitive contexts, namely where high-risk AI systems are used or provided by law enforcement, border control, immigration, or asylum authorities, placing additional restrictions on disclosure and physical custody of technical documentation.
Important points:
- All authorities and persons involved in applying the regulation are required to respect confidentiality of information obtained in carrying out their tasks, protecting trade secrets, security interests, and classified data.
- Authorities may only request data strictly necessary for their risk assessment tasks and must put in place cybersecurity measures to protect it, deleting it once it is no longer needed.
- Where law enforcement, border control, immigration, or asylum authorities are involved, confidential information exchanged between national competent authorities and the Commission cannot be disclosed without prior consultation of the originating authority and the deployer, and sensitive operational data is excluded from such exchanges entirely.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Kommissionen, marknadskontrollmyndigheterna och anmälda organ och alla andra fysiska eller juridiska personer som deltar i tillämpningen av denna förordning ska, i enlighet med unionsrätten eller nationell rätt, respektera konfidentialiteten för den information och de data som de erhåller när de utför sina uppgifter och sin verksamhet på ett sådant sätt att de särskilt skyddar följande:
Immateriella rättigheter och en fysisk eller juridisk persons konfidentiella affärsinformation eller företagshemligheter, inklusive källkod, utom i de fall som avses i artikel 5 i Europaparlamentets och rådets direktiv (EU) 2016/943(57).
Ett effektivt genomförande av denna förordning, särskilt med avseende på inspektioner, utredningar eller revisioner.
Offentliga och nationella säkerhetsintressen.
Genomförandet av straffrättsliga eller administrativa förfaranden.
Uppgifter som säkerhetsskyddsklassificerats enligt unionsrätten eller nationell rätt.
De myndigheter som deltar i tillämpningen av denna förordning enligt punkt 1 ska endast begära sådana data som är strikt nödvändiga för bedömningen av den risk som AI-system utgör och för utövandet av deras befogenheter i enlighet med denna förordning och med förordning (EU) 2019/1020. De ska vidta tillräckliga och effektiva cybersäkerhetsåtgärder för att skydda säkerheten och konfidentialiteten för den information och de data som inhämtats, och ska radera inhämtade data så snart dessa inte längre behövs för det ändamål för vilket de inhämtats, i enlighet med tillämplig unionsrätt eller nationell rätt.
Utan att det påverkar tillämpningen av punkterna 1 och 2 får information som på konfidentiell basis utbyts mellan de nationella behöriga myndigheterna eller mellan nationella behöriga myndigheter och kommissionen inte lämnas ut utan föregående samråd med den nationella behöriga myndighet som lämnat informationen och med tillhandahållaren när sådana AI-system med hög risk som avses i punkt 1, 6 eller 7 i bilaga III används av brottsbekämpande myndigheter, gränskontrollmyndigheter, migrationsmyndigheter eller asylmyndigheter, om ett sådant röjande skulle äventyra allmänna och nationella säkerhetsintressen. Detta informationsutbyte får inte omfatta känsliga operativa uppgifter som rör brottsbekämpande myndigheters, gränskontrollmyndigheters, migrationsmyndigheters eller asylmyndigheters verksamhet.
Om brottsbekämpande myndigheter, migrationsmyndigheter eller asylmyndigheter är leverantörer av sådana AI-system med hög risk som avses i punkt 1, 6 eller 7 i bilaga III ska den tekniska dokumentation som avses i bilaga IV finnas kvar i dessa myndigheters lokaler. Dessa myndigheter ska säkerställa att de marknadskontrollmyndigheter som avses i artikel 74.8 och 74.9, beroende på vad som är tillämpligt, på begäran omedelbart kan få åtkomst till eller få en kopia av dokumentationen. Endast personal vid marknadskontrollmyndigheten som innehar säkerhetsgodkännande på tillräckligt hög nivå ska ha åtkomst till denna dokumentation eller kopior av denna.
Punkterna 1, 2 och 3 påverkar inte kommissionens, medlemsstaternas och deras relevanta myndigheters samt anmälda organs rättigheter eller skyldigheter när det gäller att utbyta information och utfärda varningar, inbegripet i samband med gränsöverskridande samarbete, och inte heller påverkas de berörda parternas straffrättsliga skyldighet att lämna information enligt medlemsstaternas straffrätt.
Kommissionen och medlemsstaterna får, om det är nödvändigt och förenligt med relevanta bestämmelser i internationella avtal och handelsavtal, utbyta konfidentiell information med de tillsynsmyndigheter i tredjeländer med vilka de har slutit bilaterala eller multilaterala avtal om konfidentialitet som garanterar en tillräcklig nivå av konfidentialitet.
Relevant recitals
Skäl 167 Confidentiality
För att säkerställa ett förtroendefullt och konstruktivt samarbete mellan behöriga myndigheter på unionsnivå och nationell nivå bör alla parter som är involverade i tillämpningen av denna förordning säkerställa konfidentiell behandling av information och data som de erhåller i utförandet av sina uppgifter, i enlighet med unionsrätten eller nationell rätt. De bör utföra sina uppgifter och bedriva sin verksamhet på ett sådant sätt att de i synnerhet skyddar immateriella rättigheter, konfidentiell affärsinformation och företagshemligheter, det effektiva genomförandet av denna förordning, allmänna och nationella säkerhetsintressen, integriteten i straffrättsliga och administrativa förfaranden samt integriteten hos säkerhetsskyddsklassificerade uppgifter.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
marknadskontrollmyndighet
(En. market surveillance authority)
Definition
känsliga operativa uppgifter
(En. sensitive operational data)
Definition
brottsbekämpande myndighet
(En. law enforcement authority)
- en offentlig myndighet som har behörighet att förebygga, förhindra, utreda, upptäcka eller lagföra brott eller verkställa straffrättsliga påföljder, inbegripet att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten, eller
- ett annat organ eller en annan enhet som genom medlemsstaternas nationella rätt har anförtrotts myndighetsutövning för att förebygga, förhindra, utreda, upptäcka eller lagföra brott eller verkställa straffrättsliga påföljder, inbegripet att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten.
Definition
indata
(En. input data)
Definition
AI-modell för allmänna ändamål
(En. general-purpose AI model)
Definition
risk
Definition
AI-system
(En. AI system)
Definition
leverantör
(En. provider)
Footnote 57