| Dokumendiregister | Riigikogu |
| Viit | 1-2/26-311/1 |
| Registreeritud | 22.05.2026 |
| Sünkroonitud | 22.05.2026 |
| Liik | EL dokument |
| Funktsioon | |
| Sari | |
| Toimik | KOMISJONI ARUANNE EUROOPA PARLAMENDILE JA NÕUKOGULE MÄÄRUSE (EL) 2024/1689 ARTIKLI 112 LÕIKE 1 KOHASELT VASTU VÕETUD ARUANNE VAJADUSE KOHTA VAADATA LÄBI TEHISINTELLEKTI KEELATUD KASUTUSVIISIDE LOETELU JA III LISA KOHANE SUURE RISKIGA TEHISINTELLEKTISÜSTEEMIDE LOETELU - COM(2026) 234 |
| Juurdepääsupiirang | Avalik |
| Adressaat | |
| Saabumis/saatmisviis | |
| Vastutaja | |
| Originaal | Ava uues aknas |
EN EN
EUROPEAN COMMISSION
Brussels, 20.5.2026
COM(2026) 234 final
REPORT FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND
THE COUNCIL
REPORT ADOPTED PURSUANT TO ARTICLE 112(1) OF REGULATION (EU)
2024/1689 ON THE NEED TO REVIEW THE LIST OF PROHIBITED AI
PRACTICES AND OF HIGH-RISK AI SYSTEMS LISTED IN ANNEX III
1
REPORT FROM THE EUROPEAN COMMISSION TO THE EUROPEAN
PARLIAMENT AND THE COUNCIL
REPORT ADOPTED PURSUANT TO ARTICLE 112(1) OF REGULATION (EU)
2024/1689 ON THE NEED TO REVIEW THE LIST OF PROHIBITED AI
PRACTICES AND OF HIGH-RISK AI SYSTEMS LISTED IN ANNEX III
1. Context and background information
(1) Regulation (EU) 2024/1689 of the European Parliament and the Council of 13 June 2024
laying down harmonised rules on artificial intelligence and amending certain regulations
(‘the AI Act’1) entered into force on 1 August 2024. This regulation lays down a
comprehensive legal framework for the regulation of artificial intelligence (‘AI’) in the
Union that aims to promote innovation and uptake of AI, while ensuring a high level of
protection for health, safety, and fundamental rights in the European Union (EU), including
democracy and the rule of law.
(2) The AI Act follows a risk-based approach, classifying AI systems into four different risk
categories: (i) unacceptable risk; (ii) high risk; (iii) transparency risk; and (iv) minimal to
no risk. For the unacceptable risk category, the AI Act lists specific AI practices that are
prohibited in the EU (Article 5 AI Act). AI systems are classified as high-risk in accordance
with Article 6 AI Act, in conjunction with Annex I (list of Union harmonisation legislation)
and Annex III AI Act. Annex III covers eight areas and lists concrete use cases for each area
that have been assessed by the European Parliament and Council as posing a high risk of
harm to health and safety of persons or to fundamental rights.
(3) The AI Act is designed as a flexible and future-proof legal instrument that allows certain
rules to be adapted to the rapid pace of technological developments, as well as to the
potential changes in the use of AI systems and to emerging risks. For this purpose, the AI
Act foresees continuous monitoring and revision, ensuring that the rules remain relevant
and effective. This applies even before specific provisions enter into application, such as
the rules for high-risk AI systems.
(4) Article 112 AI Act provides a specific monitoring instrument to evaluate and review the AI
Act. Under Article 112(1) AI Act, the Commission is tasked with assessing the need to
amend the list of high-risk AI systems set out in Annex III and the list of prohibited AI
practices laid down in Article 5 AI Act, once a year following the entry into force of the AI
Act, and until the end of the period of the delegation of power laid down in Article 97 AI
Act. The Commission must submit the findings of that assessment to the European
Parliament and the Council.
(5) This is the first report adopted under that provision. Its objective is to assess whether there
is a need to amend the list of use cases set out in Annex III and the list of prohibited AI
practices laid down in Article 5 AI Act in order to ensure that the AI Act remains relevant
and effective in the face of rapidly evolving AI technologies. The review of the list of areas
1 Regulation (EU) 2024/1689 of the European Parliament and of the Council of 13 June 2024 laying down
harmonised rules on artificial intelligence (Artificial Intelligence Act) (OJ L, 2024/1689, 12.7.2024).
2
covered by Annex III falls outside the scope of this report, as the Commission is only
required to conduct that review by 2 August 2028, in accordance with Article 112(2) AI
Act.
(6) This report begins by presenting the methodology used in its preparation. It then applies
that methodology to present an assessment of the possible need to review the list of high-
risk use cases set out in Annex III and of the list of prohibited AI practices laid down in
Article 5 AI Act.
(7) The assessment in this report is limited by the short time that has elapsed since the AI Act
entered into force and its limited entry into application at the time of adoption of this report.
Chapter II of the AI Act (Prohibited practices) entered into application on 2 February 2025.
However, the rules on the enforcement of that chapter will only apply as from 2 August
2026 and the national competent authorities are still in the process of being designated. The
obligations regarding high-risk AI systems listed in Annex III AI Act will apply as from 2
August 2026, which is under consideration of possible prolongation2. Moreover, while
Commission guidelines on prohibited AI practices were published in February 20253,
guidelines on the classification of high-risk AI systems are still under preparation. Thus,
clarity as to certain concepts and the classification of specific AI use cases remain to be
provided in those guidelines, and further developed through the practical application of
Annex III AI Act and related provisions.
2. Methodology adopted for the review under Article 112(1) AI Act
(8) In accordance with Article 112(11) AI Act, to guide the evaluations and reviews referred to
in Article 112(1), the AI Office should develop an objective and participative methodology
for the evaluation of risk levels based on the criteria outlined in the relevant Articles and
the inclusion of new systems in the list set out in Annex III, including the extension of
existing area headings or the addition of new area headings in that Annex, and the list of
prohibited practices set out in Article 5 AI Act.
(9) This section of the report presents the methodological approach developed by the AI Office
to ensure compliance with this obligation in the preparation of this report. First, it provides
an overview of the legal criteria for the review of the list of prohibited AI practices laid
down in Article 5 AI Act and the list of high-risk AI systems set out in Annex III (Section
2.1. below). These legal criteria inform the further assessment of the need for a potential
review, in particular with regard to concrete AI systems that may fall into those two
categories. Second, the report outlines the participatory methods employed for evidence
2 The Commission proposed in the Digital Omnibus on AI to align the timeline for the high-risk AI rules to the
availability of standards and other support tools. Once the Commission confirms these are sufficiently available,
the rules will start to apply after a 6-month transition period for high-risk AI systems in Annex III and in any case
no later than 2 December 2027. This remains under negotiation and is subject to agreement between the European
Parliament and the Council. For more details, see Proposal for a Regulation of the European Parliament and of
the Council amending Regulations (EU) 2024/1689 and (EU) 2018/1139 as regards the simplification of the
implementation of harmonised rules on artificial intelligence (Digital Omnibus on AI). {SWD(2025) 836 final},
Brussels, 19.11.2025, COM(2025) 836 final, 2025/0359 (COD). 3 Available at: Commission publishes the Guidelines on prohibited artificial intelligence (AI) practices, as defined
by the AI Act. | Shaping Europe’s digital future
3
collection and analysis, as well as the approach followed throughout the assessment process
(Section 2.2 below).
2.1. Legal criteria for assessing the need to amend the list of prohibited AI
practices laid down in Article 5 of the AI Act and the list of high-risk use cases set
out in Annex III of the AI Act
(10) The assessment of the need to amend the list of prohibited AI practices under Article 5
AI Act, as well as the high-risk use cases set out in Annex III AI Act, is based on legal
criteria. In the case of Annex III AI Act, these criteria are explicitly provided within the AI
Act itself (Article 7 AI Act), while for Article 5 AI Act, they are inferred from the
underlying rationale of the legislation.
2.1.1. Criteria for reviewing the list of prohibitions in Article 5
(11) Article 5 AI Act prohibits the placing on the EU market, putting into service, or use of
a limited number of AI systems for manipulative, exploitative, social control, surveillance
and other practices, which by their inherent nature violate fundamental rights and EU
values. Recital 28 AI Act clarifies that such practices are particularly harmful and abusive
because they contradict EU values of respect for human dignity, freedom, equality,
democracy and the rule of law and fundamental rights enshrined in the EU Charter of
Fundamental Rights (‘the Charter’)4. Consequently, a review of Article 5 AI Act may be
warranted whenever substantial evidence suggests that the current prohibitions do not
adequately address new or emerging AI practices that effectively undermine EU values or
fundamental rights enshrined in the Charter and qualify as especially harmful and abusive.
(12) Moreover, Article 5(8) AI Act provides that the AI Act does not affect existing
prohibitions under other EU legislation. That provision emphasises the interplay of the AI
Act with other legal frameworks, because of its horizontal nature5. Overall, the prohibitions
in the AI Act primarily aim to focus on gaps that are not already addressed in other EU
legislation and require AI-specific market-based rules. However, while other EU legal acts
may apply in parallel, they inevitably approach issues from different angles, with different
mechanisms of enforcement, and therefore might not sufficiently address the overall risks
of certain unacceptable AI practices.
(13) As a result, the Commission’s approach to reviewing the list of prohibited AI practices
in Article 5 AI Act is to assess the need for review, subject to at least two cumulative
conditions:
• there are new or emerging AI practices that undermine EU values or the rights and
freedoms in the Charter which are not covered by the current list of prohibited
practices in Article 5 AI Act; and
4 Charter of Fundamental Rights of the European Union. OJ C 326, 26.10.2012, p. 391–407. 5 See in this regard sections 2.8, 3.6, 4.4, 5.4, 6.4, 8.4 of the Guidelines on prohibited AI practices.
4
• regulatory gaps persist despite other applicable EU legislation, necessitating a
review of the AI Act’s prohibitions to ensure harmful AI practices are
comprehensively covered.
(14) Article 5 may only be modified through a legislative amendment. Therefore, should the
need to amend Article 5 AI Act be identified, the Commission will submit the findings of
its assessment to the European Parliament and the Council and will consider the need to
present a legislative proposal to that effect.
2.1.2. Criteria for reviewing the list of high-risk AI systems in Annex III
(15) Article 6 AI Act, in conjunction with Annex I and Annex III, addresses certain uses of
AI systems that are classified as high-risk due to their significant risk of harm to the health
and safety, or fundamental rights of persons. High-risk AI systems should only be placed
on the market, put into service or used if they comply with certain mandatory requirements
set out in the AI Act which aim to address those risks.
Limitation of the review to use cases of high-risk AI systems listed in Annex III
(16) The AI Act distinguishes between two categories of AI systems that are classified as
‘high-risk’ as set out in Article 6(1) and (2) AI Act. The first category is AI systems that are
embedded as safety components in products or that themselves are products regulated by
the EU harmonisation legislation listed in Annex I, which could have an adverse impact on
health and safety of persons, and therefore classify as high-risk pursuant to Article 6(1) AI
Act. The second category covers AI systems that in view of their intended purpose are
considered to pose a significant risk to health, safety or fundamental rights and thus classify
as high-risk according to Article 6(2) AI Act.
(17) Since Article 112(1) AI Act focuses on the possible need for a review of high-risk use
cases listed in Annex III, the AI systems that are safety components of products, or which
are themselves products, falling within the scope of certain EU harmonisation legislation
listed in Annex I, are out of the scope of this report. The reference to high-risk AI systems
in this report refers only to the stand-alone AI systems6 falling within the pre-defined areas
listed in Annex III.
Criteria listed in Article 7 for amending high-risk AI systems use cases
(18) Article 7 AI Act empowers the Commission, by means of delegated acts, to amend
Annex III by adding, modifying or deleting use cases of high-risk AI systems to take
account of the rapid pace of technological development, as well as the potential changes in
the use of AI systems (see also Recital 52 and Recital 173 AI Act). This empowerment is
subject to conditions set out in Article 7(1) to (3) AI Act.
(19) First, Article 7(1) AI Act establishes that the Commission may adopt delegated acts to
add new use cases to Annex III or to modify the ones currently listed in that annex provided
(i) the AI systems are intended to be used in one of the eight areas listed in Annex III and
(ii) they pose a risk of harm equivalent to or greater than those already listed. This second
6 High-risk AI systems other than those that are safety components of products, or that are themselves products
classified as high-risk under Article 6(1).
5
condition sets a threshold of comparative risk assessment: a key condition for listing
additional use cases of high-risk AI systems is that they must pose a risk to health and
safety, or fundamental rights of persons equivalent to those already listed in Annex III. This
ensures consistency and proportionality in the classification of high-risk AI systems.
(20) Article 7(2) outlines the criteria that must be considered when determining whether this
threshold is met. These include inter alia the intended purpose of the AI system, the extent
to which it is likely to be used, the nature of the data processed, the current and potential
extent of harm. Recital 52 AI Act clarifies the rationale for these criteria by stating that it
is appropriate to classify stand-alone AI systems as high-risk if, given their intended
purpose, they pose a high risk of harm to the health and safety or the fundamental rights of
persons, taking into account both the severity of the possible harm and its probability of
occurrence, and they are used in a number of specifically pre-defined areas specified in the
AI Act. The Commission enjoys a certain margin of discretion in applying the criteria,
provided that they are duly taken into account and considered fulfilled in the overall
assessment.
(21) As a result, the threshold for amending the list in Annex III AI Act is not merely
technological novelty or public concern, but a demonstrable and comparable risk posed by
AI systems to health, safety, or fundamental rights, similar to that of the AI systems
currently listed in Annex III.
Removal of use cases of high-risk AI systems from Annex III
(22) Article 7(3) of the AI Act specifies the criteria for the removal of high-risk AI systems
from Annex III. For this purpose, the Commission must demonstrate that the use case no
longer poses a high risk of harm, and that its removal would not decrease the overall level
of protection of the health and safety, or fundamental rights under EU law.
2.2. Methodology for objective and participatory evidence collection and analysis
used in this report and the procedures followed
(23) According to Article 112(11) AI Act, the AI Office is required to undertake to develop
an objective and participative methodology when assessing the need for the review covered
by the report. Furthermore, pursuant to Article 112(8) and Article 112(9) AI Act, the
Commission may request information from the European Artificial Intelligence Board (‘the
AI Board’), the Member States and national competent authorities in the preparation of its
report and it has to take into account the positions and findings of the AI Board, of the
European Parliament, of the Council, and of other relevant bodies or sources in carrying
out its review and evaluation.
(24) In line with these provisions, the Commission applied the following methodology for
the preparation of this report:
• Engagement with the AI Board and consultation with Member States and
national competent authorities
The Commission engaged with the Member States and their respective national
competent authorities in the process of designation, submitting relevant
questions through the AI Board. Several subgroups of the AI Board were
involved in the process.
6
• Stakeholder consultation
A multi-stakeholder consultation was conducted to collect feedback and
perspectives from a broad range of stakeholders, including industry
representatives, academia, civil society, and the general public.
• Empirical research: analysing AI incident databases
The Commission also analysed relevant AI incident databases to ensure a
comprehensive and evidence-based approach based on empirical evidence for
harms caused by AI systems.
(25) The sections below discuss in more detail the methodology for the objective and
participatory collection and analysis of evidence used in this report. They detail the
approaches that were taken to ensure that the information gathered is comprehensive and
inclusive of diverse stakeholder perspectives, thereby supporting a transparent, evidence-
based and well-founded assessment.
3. Analysis of the information collected
3.1. Analysis of the input from the consultation with Member States and the AI
Board
(26) The AI Office consulted the Member States via the relevant sub-groups of the AI Board7
and invited them to provide their input directly during the meetings or in writing.
3.1.1. Position of the Member States on the need to review the list of prohibited practices
in Article 5 AI Act
General position
(27) During the consultation of the relevant AI Board subgroup, the majority of the Member
States present stated that, at this stage, they do not see a need to amend the list of prohibited
AI practices laid down in Article 5 AI Act. In addition, nine Member States submitted
written statements via e-mail, similarly confirming that there is no perceived necessity to
amend that list. Comparable responses were also received from the two observers to the
subgroup.
(28) The respondent Member States’ representatives repeatedly noted that, since the
provisions of the AI Act concerning the definition of AI systems and prohibited practices
only began to apply on 2 February 2025, the rules on enforcement will become applicable
on 2 August 2026, and enforcement mechanisms are not yet operational, the evaluation of
practices that are particularly harmful and abusive and that contradict EU values and
7 In particular, questions on the need for review of the list of use cases set out in Annex III and of the list of
prohibited AI practices laid down in Article 5 of the AI Act were submitted to the Member States during the Fourth
meeting of the AI Board Sub-group on prohibitions, which took place on 13 May 2025; the Third meeting of the
AI Board Annex III Subgroup on high-risk AI systems which took place on 16 May 2025; the Third meeting of
the AI Board Annex III Subgroup on Law Enforcement and Security which took place on 5 June 2025; and the
Second meeting of the AI Board AI in Financial Services Subgroup held on 13 May 2025.
7
fundamental rights is only starting. Due to the limited time since Article 5 AI Act entered
into application, there is currently a lack of practical experience and concrete use cases on
the basis of which the effectiveness of the AI Act’s prohibitions can be evaluated. It was
therefore assessed that a more meaningful input can be provided once the relevant
provisions have been in effect for a longer period. For the time being, the Member States
noted that there is little concrete data or analysis available to justify a revision.
(29) In light of these considerations, the general position of the Member States was that any
efforts aimed at reviewing or amending the list of prohibited practices would be more
appropriate at a later stage, once sufficient implementation experience has been gathered.
Issues flagged for further monitoring
(30) One Member State suggested that it might be relevant to assess for possible inclusion
in the list of prohibited AI practices AI systems intended to develop or distribute
malware that could harm critical infrastructure, compromise databases, or create risks to
fundamental rights. After analysing that suggestion, the Commission considered that the
risks such a prohibition would address seemed sufficiently covered by various EU
legislation8, but flagged the issue for further monitoring and assessment.
3.1.2. Position of the Member States on the need to amend the high-risk use cases in Annex
III AI Act
General position
(31) The need to amend the list of high-risk use cases in Annex III AI Act was discussed in
several meetings of the AI Board subgroups. During those meetings, many Member States
present stated that they currently do not see a need to amend Annex III. Moreover, seven
Member States submitted written statements via e-mail, confirming that that they do not
see any need to amend Annex III at this stage.
(32) Similar to the considerations set out above in relation to possible amendments to the
list of prohibited AI practices in Article 5 AI Act, the respondent Member States repeatedly
noted that they are still assessing the implications of the legislative framework on the
current high-risk AI use cases listed in Annex III. The rules concerning high-risk AI systems
are not yet applicable, and corresponding Commission guidelines on the classification of
high-risk AI systems are still forthcoming. In view of these considerations, the Member
States generally considered it premature to make amendments to the current list of high-
risk use cases in Annex III AI Act.
Issues flagged for further monitoring
(33) Two Member States raised concerns about some specific AI use cases9.
8 E.g. EU cybersecurity legislation (from recent legal acts, see EU Cyber Solidarity Act), Directive 2013/40/EU
on attacks against information systems and replacing Council Framework Decision 2005/222/JHA. 9 As noted above, the Commission guidelines on high-risk AI systems will only be issued in 2026. As a result,
assessments of concrete high-risk AI systems that were identified by the Member States, stakeholders or AI
incidents’ databases, are based on the AI Act text only. Due to limited guidance available at the current stage,
concrete assessments were not always possible, and these cases have been flagged for further monitoring.
8
(34) One concern involved the regulation of self-help (therapy) AI chatbots10 not falling
under the Medical Device Regulation11. Self-help (therapy) AI chatbots are digital tools
powered by AI and designed to provide users with mental health support and emotional
guidance through conversational interfaces. Although presented as wellbeing tools, rather
than as medical devices, they nevertheless affect users’ mental health-related decisions and
may process sensitive personal data. Consequently, there is a risk that the support and
emotional guidance that such chatbots provide could negatively impact individuals' mental
health. In light hereof, one Member State raised the question whether such systems ought
to be classified as high-risk AI systems.
(35) After analysing this question, the Commission considers that when self-help chatbots
fulfil the definition of a medical device they are subject to the strict requirements and
controls under the Medical Device Regulation. Furthermore, the most harmful self-help AI
chatbots potentially fall under the prohibitions laid down in Article 5(a) and (b) AI Act. As
for classification of other self-help AI chatbots as high-risk, most of such AI systems could
not be placed under one of the currently listed Annex III use cases, with some specific
exceptions already covered by the use cases12. In addition, at least to a certain extent, the
disclosure obligations set out in Article 50 AI Act may serve as a mitigation for addressing
some of the risks associated with self-help AI chatbots, particularly those related to
informed decision-making and the potential psychological impact of the interaction on
individuals. The Commission will therefore assess how these provisions address the
aforementioned risks in practice before considering any amendments to Annex III. The
Commission nevertheless recognises that, at this stage, the use and potential risks
associated with this type of AI system should be subject to close monitoring and the
collection of further evidence in the coming years, especially once the provisions of the AI
Act on high-risk AI systems start to apply.
(36) Another concern focused on AI-driven personalised learning. Current analysis based
on the criteria listed in Article 7 AI Act lead the Commission to conclude that self-taught
(independent) learning AI systems do not in most cases pose risks equivalent to or greater
than those posed by AI systems listed in Annex III AI Act. In particular, there is limited
empirical evidence of a high risk of harm in relation to such systems and no incidents
involving those systems have been identified. A similar conclusion applies to AI systems
that are used to develop personalised-content learning materials in the context of self-taught
(independent) learning. Other use cases for AI-driven personalised learning are identified
for further clarification in the forthcoming Commission guidelines on the classification of
high-risk systems.
(37) Lastly, there was a suggestion from one Member State to extend Annex III AI Act to
cover AI use cases for granting authorisations by public authorities in cases where a
person applies for, for instance, a driver's license, firearms’ and ammunition licenses, or a
permit for handling chemical substances or for working with explosives. At this stage, there
10 Similar concerns were also expressed by various stakeholders (see Section 3.2 below). 11 If a chatbot is marketed as addressing specific mental health conditions or guiding users through therapeutic
interventions, it would likely fall within the scope of the Medical Devices Regulation, since it can be considered
as software intended for the treatment or alleviation of disease (Article 2(1) of the Medical Devices Regulation).
Regulation (EU) 2017/745 of the European Parliament and of the Council of 5 April 2017 on medical devices,
amending Directive 2001/83/EC, Regulation (EC) No 178/2002 and Regulation (EC) No 1223/2009 and repealing
Council Directives 90/385/EEC and 93/42/EEC. OJ L 117, 5.5.2017, pp. 1–175. 12 For instance, AI self-help chatbots with functionalities of emotion recognition. AI systems intended to be used
for emotion recognition are classified as high-risk pursuant to Annex III point 1(c).
9
is scant evidence that such use cases justify high-risk classification based on the criteria
laid down in Article 7 AI Act. In light of this, the Commission considers that these risks
merit further monitoring.
3.2. Analysis of the input from the stakeholder consultation
(38) From 6 June to 18 July 2025, the Commission organised a multi-stakeholder
consultation13 to gather input on implementing the AI Act’s rules on high-risk AI systems.
This consultation also included several questions with regard to the potential need for
amendment of the list of high-risk use cases set out in Annex III AI Act and of the list of
prohibited AI practices in Article 5 AI Act.
(39) In total, 547 responses were received from various stakeholders, including businesses,
civil society organisations, academia, public institutions, and persons acting in private
capacity14.
3.2.1. Stakeholders’ views as to the need to review the list of prohibitions in Article 5 AI
Act
(40) While a significant number of stakeholders considered the current list to be sufficient,15
others proposed inclusion of additional prohibitions16. The majority of the respondent
stakeholders did not advocate for the removal of any of the existing prohibitions.
(41) The suggestions of the stakeholders to include additional prohibitions were evaluated
by the Commission by applying the methodology and the criteria outlined in Section 2.1.1
above. In particular, the Commission sought to identify, from the suggestions received,
those practices that can be considered particularly harmful and abusive, contradicting EU
values and fundamental rights, and not sufficiently addressed by existing EU legislation.
This approach informed the assessment of whether proposed additions warranted inclusion
in the list of prohibited AI practices or were more appropriately addressed through other
regulatory mechanisms within the AI Act or possibly other EU legislation.
(42) A considerable number of suggestions were assessed as being sufficiently addressed by
the existing provisions of the AI Act, either through the prohibitions set out in Article 5 AI
Act, the classification of certain AI systems as high-risk under Annex III or Annex I AI Act,
or the transparency requirements in Article 50 AI Act. Some of the suggestions, when
13 Commission launches public consultation on high-risk AI systems | European e-Justice Portal. 14 A total of 409 respondents indicated that they are representing an organisation. Among those, the largest group
of respondents represented companies (150 responses), followed by associations (93 responses) and those
respondents that selected ‘other organisation’ (81 responses). Civil society organisations or associations accounted
for 56 responses, while research institutes (11 responses), universities (7 responses), think tanks (6 responses) and
consumer organisations (5 responses) made out the minority of organisations. A total of 138 respondents indicated
that they are acting in an individual capacity. Among the latter, the largest groups were those describing themselves
as other independent experts or organisations with relevant expertise (35), providers of an AI system (34), and
academia (28), while 14 selected “other” and 13 identified as deployers of an AI system. Some other respondents
who marked that they are acting in a personal capacity indicated a link to a civil society organisation (7), other
operators (3), a business association (2), or a supervisory authority (2). 15 Both respondents who explicitly expressed this view in their answers and those who did not comment on the
relevant question were understood to consider the current list of prohibitions sufficient. 16 Slightly more than 10% of respondents.
10
assessed in light of the current stage of AI development and deployment, as well as taking
into account the AI incidents registered, did not appear to meet the threshold for prohibition
under the AI Act17.
(43) The following concerns repeatedly expressed by the stakeholders were marked for
further monitoring and evaluation of practice:
• In the area of biometrics, numerous suggestions focused on broadening the prohibition
on the use of emotion recognition technologies in Article 5(1)(f) AI Act. Such use is
prohibited when used in the areas of workplace and education institutions18. The use of
such systems in all other areas are classified as high-risk AI systems under point 1 of
Annex III AI Act. Moreover, Article 50(3) AI Act requires that deployers of emotion
recognition systems inform the natural persons exposed thereto of the operation of the
system. However, several respondents expressed concerns regarding their deployment
in sensitive contexts, such as migration, and proposed that, rather than being subject to
high-risk regulatory requirements, their use in these specific areas should be explicitly
prohibited. Due to the lack of empirical evidence that classifying such systems as high-
risk does not suffice to ensure fundamental rights are protected, the Commission does
not see an immediate need to amend Article 5 AI Act in this respect. However, this area
is flagged for further consideration.
• The question of classification of AI systems enabling dark patterns and addictive
design was raised by several stakeholders. The current assessment of the Commission
is that the most harmful instances of such practices are already covered by the existing
prohibitions, in particular those listed in Article 5(a) and (b) AI Act. Moreover, those
practices may be covered in other EU legislation such as the Unfair Commercial
Practice Directive19 and the Digital Services Act20, regardless of whether they are AI-
enabled. Nonetheless, such practices remain an important area of concern. It is
considered important to closely monitor their evolution to assess whether existing EU
legislation continues to provide adequate protection in particular where AI systems
enable dark patterns and addictive design.
• Several stakeholders drew attention to AI systems facilitating scams and generating
nude images and other malicious and degrading deepfakes. These harmful practices
were also identified in the incident analysis and are further discussed in the Section
3.3.3. below.
17 Such as, for instance, suggestions to prohibit AI systems used in the management of migration; voice clones in
consumer-facing AI applications; or AI generated personas used for political messaging. 18 Except where the use of the AI system is intended to be put in place or into the market for medical or safety
reasons. 19 Directive 2005/29/EC of the European Parliament and of the Council of 11 May 2005 concerning unfair
business-to-consumer commercial practices in the internal market and amending Council Directive 84/450/EEC,
Directives 97/7/EC, 98/27/EC and 2002/65/EC of the European Parliament and of the Council and Regulation
(EC) No 2006/2004 of the European Parliament and of the Council (‘Unfair Commercial Practices Directive’).
OJ L 149, 11.6.2005, pp. 22–39. 20 Regulation (EU) 2022/2065 of the European Parliament and of the Council of 19 October 2022 on a Single
Market for Digital Services and amending Directive 2000/31/EC (Digital Services Act). OJ L 277, 27.10.2022,
pp. 1–102.
11
3.2.2. Stakeholders’ views as to the need to amend the use cases in Annex III AI Act
(44) While a substantial number of stakeholders considered the existing list of high-risk use
cases in Annex III AI Act to be adequate21, others suggested adding new use cases to the
area headings, extending current use cases, or questioned whether new area headings
should not be added to the annex22. The majority of stakeholders did not support removing
any of the current use cases from Annex III.
(45) A considerable number of suggestions were assessed by the Commission as being
sufficiently addressed by the existing provisions of the AI Act23. The remaining suggestions
to include additional use cases and area headings were evaluated, taking into account the
criteria listed in Article 7 AI Act (see Section 2.1.2. above). Several proposed use cases
were examined, but they were not deemed to pose a risk of harm equivalent to or greater
than those already listed in Annex III AI Act24. Some of the concerns raised by stakeholders
were assessed as likely already covered by the list of high-risk use cases in Annex III AI
Act and noted to be further clarified in the guidelines on classification of high-risk AI
systems that are currently being drafted by the Commission25.
(46) The following concerns, repeatedly raised by stakeholders, have been identified by the
Commission for ongoing monitoring and assessment in light of evolving practices:
• A significant number of suggestions concerned point 5 of Annex III AI Act. With
regard to point 5(a), several stakeholders questioned lack of an explicit reference to AI
systems used in public administration for managing access to social welfare benefits
and social housing. Regarding point 5(b), stakeholders noted that AI systems used in
tenant screening and private service (e.g., telecoms, utilities) eligibility are not clearly
covered. As to point 5(c), concerns were expressed that the current high-risk use case
is limited to life and health insurance, without a mention of other essential insurances
(e.g., motor vehicle, professional liability, homeowners’, disability insurance). There
were also suggestions to extend point 5(d) to include AI systems that influence
emergency response decisions affecting safety and rights (e.g. forced evacuation,
lockdowns). While many of the suggestions were noted for further clarification in the
forthcoming Commission guidelines on the classification of high-risk systems, the AI
Office will closely monitor the deployment of AI systems in the area covered by point
5 of Annex III AI Act, and in particular in situations where no relevant high-risk use
case exists in Annex III with regard to specific AI systems. Particular attention will be
given to gathering empirical data on actual harms and identifying any regulatory gaps
that may emerge, which could warrant amending or supplementing the list of high-risk
use cases in point 5 of Annex III or the heading of the area more generally.
21 Both respondents who explicitly expressed this view in their answers and those who did not comment on the
relevant question were understood to consider the current list of high-risk AI use cases in Annex III as adequate. 22 Around 20% of the respondents. 23 Such as, for instance, suggestions to include specific biometric systems as high-risk (already covered under
point 1 of Annex III). 24 For instance, AI systems designed for online service providers to make sure that audiovisual media services of
public interest are given suitable visibility; certain AI systems used in livestock farming. 25 Such as concerns expressed with regard to specific AI systems used in employment and emotion recognition.
12
• Reiterating the concern expressed by one Member State (see Section 3.1. above), a
recurring issue in the stakeholder consultation concerned AI companions and AI
mental support chatbots. These AI systems were noted by stakeholders both in the
context of the potential need to amend prohibited AI practices and the Annex III use
cases. As noted above, if such systems exert subliminal, manipulative, or deceptive
influence, or exploit vulnerabilities in a harmful way, they may fall under the
prohibitions of Article 5(a) and (b) AI Act. When designed with elements for emotion
recognition, they may be classified as high-risk under point 1(c) of Annex III AI Act.
Transparency obligations also apply to ensure users are aware they are interacting with
an AI chat box or subjected to emotion recognition or biometric categorisation systems.
Additional safeguards are provided by the Digital Services Act26 and the EU data
protection law when applicable27. Nevertheless, in light of the increasing proliferation
of AI companions and AI mental support chatbots, the Commission considers it
important to closely monitor their development in the coming years to collect further
evidence and assess whether the existing legislative framework remains adequate to
address the risks they may pose.
• Some stakeholders suggested classifying AI systems used in debt collection and
enforcement as high-risk, noting their growing use by energy, telecom, and financial
providers. Such AI systems could potentially fall under the area heading of points 5 or
8 of Annex III AI Act. These systems will be further monitored by the Commission to
see how intensively they are deployed and the harms that may arise, particularly in
relation to vulnerable consumers.
• Several stakeholders proposed extending the scope of point 2 of Annex III AI Act,
which concerns AI systems used in the area of critical infrastructure. They suggested
that this area should cover not only AI systems functioning as safety components but
also a broader range of systems integral to infrastructure reliability and continuity.
Given these suggestions, further monitoring of AI systems in this area is needed to
assess the intensity of deployment and harms to which such systems may give rise in
practice.
3.3. Empirical research: analysing AI incident databases and other sources
26 The Digital Services Act (DSA) prohibits manipulative interface design (dark patterns) and obliges providers
of Very Large Online Platforms (VLOPs) and Very Large Online Search Engines (VLOSEs) to identify, assess,
and analyse any systemic risks stemming from the design or functioning of their services and its related systems,
including algorithmic systems (Art. 34 DSA). Providers are also required to put in place reasonable, proportionate
and effective mitigation measures, including testing and adapting their algorithmic systems (Art. 35 DSA). The
DSA also requires providers of online platforms accessible to minors to put in place appropriate and proportionate
measures to ensure a high level of privacy, safety and security of minors, on their service (Art. 28.1 DSA).
Regulation (EU) 2022/2065 of the European Parliament and of the Council of 19 October 2022 on a Single Market
for Digital Services and amending Directive 2000/31/EC (Digital Services Act). OJ L 277, 27.10.2022, pp. 1–102. 27 Such as data processing principles and data subjects’ rights established by the GDPR which would be applicable
in connection with an AI system, e.g. either because personal data are used to develop an AI system or are input
or output during the deployment. Regulation (EU) 2016/679 of the European Parliament and of the Council of 27
April 2016 on the protection of natural persons with regard to the processing of personal data and on the free
movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation). OJ L 119,
4.5.2016, pp. 1–88.
13
(47) For the purposes of this report, information in relevant AI incidents databases was also
consulted and analysed. This desk research was conducted to identify dangerous practices
and past incidents caused by AI systems that could provide empirical evidence of risks to
health, safety and fundamental rights that have materialised to inform the assessment of the
review. While providing an additional source of mapping available data of harms and
incidents caused by AI systems, the empirical research done in the next section has its
inherent limitations considering that the incident databases analysed do not contain
complete and verified information on all AI incidents. Many of the incidents are also global
and not limited to Europe and detailed information for the proper categorisation of the
incidents under the AI Act is not always available.
3.3.1. Databases and timeline
(48) The main database on which this desk research relied was the AI Incidents and Hazards
Monitor (AIM)28 of the Organisation for Economic Cooperation and Development
(OECD). This database is a free and open-source project dedicated to indexing the history
of harms or near harms that have materialised in the real world by the deployment of AI
systems. The database is AI-driven and collects information about AI incidents from public
sources (mostly AI incidents covered by the media). Another database the Commission
consulted was the AI Risk Repository29 of the Massachusetts Institute of Technology
(MIT)30. This database was mainly analysed for devising the methodology of incident
analysis.
(49) Due to the nature of the incidents databases, which publish only brief summaries of
reported events, the analyses relying on these sources was to a certain extent limited.
Concise descriptions do not consistently permit a precise evaluation of the incidents’
characteristics, nor do they always enable accurate categorisation according to the
methodological framework employed in this report, as specified in Section 2.1. above. Due
to these limitations and constraints, this report refers to generalised quantifying terms (such
as ‘substantial part’ or ‘small part’), instead of providing precise proportions of incidents.
(50) To enable sufficient time for the analysis of the incidents, the time frame covered was
limited to incidents reported from 1 January 2024 (after finalising the negotiations of the
AI Act) to 31 May 2025. In total, 3 791 incidents were reported in the OECD AI Incidents
and Hazards Monitor (AIM) during this period.
28 Available at https://oecd.ai/en/incidents?search_terms=%5B%5D&and_condition=false&from_date=2014-01-
01&to_date=2025-05-
27&properties_config=%7B%22principles%22:%5B%5D,%22industries%22:%5B%5D,%22harm_types%22:
%5B%5D,%22harm_levels%22:%5B%5D,%22harmed_entities%22:%5B%5D%7D&only_threats=false&order
_by=date&num_results=20 29 Available at https://airisk.mit.edu/ 30 This repository has three parts: (i) the AI Risk Database; (ii) the Causal Taxonomy of AI Risks (classifying how,
when, and why AI risks occur); and the Domain Taxonomy of AI Risks (classifying AI risks into 7 domains (e.g.,
“Misinformation”) and 24 subdomains (e.g., “False or misleading information”).
14
3.3.2. Categorisation of reported incidents
(51) The first step of the analysis was the categorisation of all reported 3 791 incidents in
six categories. These categories included:
1. incidents falling outside the scope of the AI Act;
2. incidents likely addressed by Annex I AI Act;
3. incidents likely covered by Article 50 AI Act;
4. incidents, which present hypothetical risks, without having caused any harm as of the
time of reporting;
5. incidents that are (or may be) potentially addressed by Article 5 AI Act; and
6. incidents that are (or may be) potentially addressed by Annex III AI Act.
(52) Whilst categories 1-4 were collected for the purpose of better understanding the overall
landscape of AI incidents, only incidents falling under categories 5 and 6 were further
analysed according to the methodology employed for this report and the above-mentioned
criteria (Section 2.1).
(53) The analysis demonstrated that almost half of all reported incidents in the relevant
timespan fell outside the scope of the AI Act or were sufficiently covered by other EU
instruments31. In addition, approximately 10% of the reported incidents were likely to be
addressed by Annex I AI Act32 and, thus, expected to be mitigated once these rules of the
AI Act start to apply. Part of the reported incidents appeared to be addressed by Article 50
AI Act33 and, therefore, can similarly be expected to be mitigated when this part of the AI
Act starts to apply. Finally, some of the reported incidents were hypothetical incidents and
thus excluded from further analysis, which was limited to actual damage that has or has
been reasonably likely to occur due to the incident.
(54) Around 30% of reported incidents were identified by the Commission as relevant for a
more detailed analysis. Approximately two thirds of these incidents either fell within the
scope of Article 5 AI Act or were considered sufficiently relevant to warrant an assessment
of whether they meet the criteria for inclusion in the list of prohibited AI practices (Section
2.1.1 above). The remainder, i.e. one third of the incidents identified for a more detailed
analysis, were likely to fall under the high-risk area headings listed in Annex III AI Act34.
However, it had to be verified whether those incidents were captured by the high-risk use
cases currently listed in Annex III or, if not, whether they satisfy the criteria for inclusion
in Annex III AI Act (criteria discussed in Section 2.1.2. above).
31 These incidents generally concerned issues that are addressed by other relevant EU legislation, such as data
privacy violations, which are regulated by the GDPR. Moreover, many of these incidents concerned copyright
disputes, addressed by instruments such as the EU copyright law. Furthermore, many incidents resulted from areas
which fall under the competences of the Member States, such as the use of AI in military applications. 32 Such incidents concerned primarily damage arising from AI used in medical devices or self-driving vehicles. 33 These incidents concern deepfakes lacking appropriate watermarks or other transparency measures. 34 Most commonly, these incidents concerned the use of AI in biometric identification in law enforcement, border
control management, essential services, educational and vocational institutions, as well as in the administration
of justice and democratic processes
15
3.3.3. Assessment of incidents identified for further assessment
(55) The second step of the analysis involved assessing whether the 30% of reported
incidents identified as relevant for a more detailed analysis were covered by the
prohibitions in Article 5 or use cases listed in Annex III AI Act. If not, the subsequent
assessment aimed to determine the potential need to amend these provisions by adding or
removing relevant use cases.
Incidents potentially falling under prohibited AI practices listed in Article 5 AI Act
(56) Concerning incidents that could potentially fall under the prohibitions set out in Article
5 AI Act, part of incidents assessed appeared to be already covered by this provision35.
Some of the incidents could neither be considered as covered by, nor excluded from the
prohibitions of Article 5 AI Act, due to a lack of sufficient information to make a concrete
assessment.
(57) However, the Commission identified a considerable number of incidents as potentially
relating to the prohibited practices in Article 5 AI Act or as amounting to similar practices
with particularly harmful and abusive effect which were not clearly covered by that
provision. Those incidents were assessed according to the criteria discussed in Section
2.1.1. above. This analysis resulted in the following areas flagged by the Commission:
• AI systems intended or capable of generating non-consensual nude and sexually
explicit deepfakes, depicting real people, including minors. The Commission has
analysed whether the existing prohibitions of AI systems that deploy purposefully
manipulative or deceptive techniques (Article 5(1)(a) AI Act), or exploit vulnerabilities
due to age, disability, or a specific socio-economic situation (Article 5(1)(b)) causing
significant harm could cover AI systems producing child sexual abuse material
(CSAM) and non-consensual sexually explicit images. The Commission conclusion is
that these practices are not covered by the Article 5(1)(a), nor Article 5(1)(b) of the AI
Act, since they do not manipulate children and victims to engage them in harmful
behaviour.
• AI systems intended for facilitating scams and financial fraud may potentially be
covered by Article 5(1)(a) and (b) AI Act, if the conditions of these provisions are
fulfilled, including the threshold of significant financial harm. This also necessarily
requires a plausible causal link between the financial harm that has occurred or is
reasonably likely to occur and the use of the AI system (e.g. a deepfake content
impersonating a family member). The Commission considers it important to evaluate
how the Member States’ practice with regard to interpreting the requirement of
significant financial harm evolves and how this will impact the coverage of such
harmful and fraudulent AI practices by the prohibitions in Article 5 AI Act.
35 Such incidents, which were potentially covered by Article 5 AI Act, spanned a range of topics, such as the real-
time biometric identification or emotion recognition at the workplace.
16
Incidents relating to high-risk use cases in Annex III
(58) The analysis of incidents falling under the high-risk area headings of Annex III AI Act
indicated that a substantial portion were already likely covered by the specific use cases
listed in that annex36. In addition, some reported incidents were evaluated as not posing a
level of risk of harm equivalent to that associated with the use cases already listed in Annex
III AI Act37. A smaller proportion of incidents could not be conclusively categorised due to
insufficient information.
(59) A considerable number of incidents were identified as falling within the area headings
listed in Annex III AI Act; however, these were not clearly covered by the specific use cases
currently set out therein. These incidents were assessed based on the criteria discussed in
Section 2.1.2. above. The analysis led to the identification of the following areas flagged
for further monitoring and data collection:
• A significant number of incidents involved political disinformation campaigns, which
thematically fall under the area of administration of justice and democratic processes
listed in point 8 of Annex III, but do not clearly appear in the use cases listed therein.
These disinformation campaigns largely concerned deepfake videos and images, whose
risks are already addressed to a certain extent by Article 50 AI Act. Moreover, part of
such AI systems may be covered by the prohibitions in Article 5(1)(a) or (b) AI Act,
provided all the conditions laid down therein are fulfilled. In addition, the Digital
Services Act and the Regulation on the Transparency and Targeting of Political
Advertising38 address some of the issues linked to political disinformation. Additional
measures and initiatives are foreseen in the recently adopted Communication on the
European Democracy Shield39. The Commission will further assess and clarify in the
forthcoming guidelines on classification of high-risk AI systems whether part of such
AI practices could be classified as AI systems intended to be used for influencing the
outcome of an election or referendum or the voting behaviour of natural persons in the
exercise of their vote in elections or referenda.
36 The incidents in the area of biometrics (point 1 of Annex III) often concerned AI systems used in surveillance
cameras for remote facial recognition to identify suspects. In the area of employment, the identified incidents
related to AI systems used to optimise the hiring and firing processes, such as the scanning of CVs, or the
surveillance of employees on platforms used at work. In the area of access to and enjoyment of essential services,
reported incidents often concerned the use of an AI based algorithm to flag people receiving housing benefits for
fraud, leading to unnecessary investigations and rights violations. Concerning the area of law enforcement,
relevant incidents include the use of AI to assess the risks faced by victims of domestic violence. When it came
to border control management, relevant incidents related to the tracking and facial identification of migrants
through cameras. 37 Several incidents involved the use of AI cameras used to detect traffic offenses or to track crowd density and
ensure safety during public events. Such applications of AI pertain to law enforcement; however, they do not
appear to post risk of harm equivalent to, or greater than, the risk of harm or of adverse impact posed by other
high-risk AI systems already listed under Annex II point 6. This is mainly due to the fact that they typically concern
administrative offences, whose consequences are less intrusive than those linked to criminal offences or are used
to ensure safety without direct effect on fundamental rights. Accordingly, such AI use cases do not currently
require amendment to Annex III. 38 Regulation (EU) 2024/900 of the European Parliament and of the Council of 13 March 2024 on the transparency
and targeting of political advertising. OJ L, 2024/900, 20.3.2024. 39 Joint Communication to the European Parliament, the Council, the European Economic and Social Committee
and the Committee of the Regions. European Democracy Shield: Empowering Strong and Resilient Democracies.
Brussels, 12.11.2025. JOIN(2025) 791 final.
17
Conclusion
(60) This report is prepared by the Commission and addressed to the European Parliament
and the Council to fulfil the Commission’s obligations as set out in the Article 112(1) AI
Act. The findings set out in this report are submitted for the consideration of these
institutions.
(61) Following the assessment performed applying the objective and participatory
methodology for the review required under Article 112(1) AI Act, the Commission notes
and further analyse a potential regulatory gap regarding AI systems generating CSAM and
non-consensual intimate content, which are not prohibited by Article 5 AI Act. Since the
provisions of the AI Act relating to prohibited AI practices entered into application on 2
February 2025 and the rules on enforcement are not yet applicable, the assessment of other
AI practices that are particularly harmful and abusive and that contradict EU values and
fundamental rights is still at an early stage, and there is a lack of practical experience with
the prohibitions. A more substantive evaluation of the application of Article 5 AI Act will
only become possible after the prohibitions have applied for at least a year and common
challenges or regulatory gaps begin to emerge. Similarly, evaluating how the rules on high-
risk AI systems function and identifying any potential gaps in the use of such systems that
pose a high risk of harm to health and safety or fundamental rights will be facilitated once
the Commission guidelines on the classification of high-risk AI systems are published and
practical experience has been acquired. It is also expected that regulatory sandboxes
established in accordance with the AI Act will serve as a mechanism for regulatory
learnings and evidence collection that will help to identify possible regulatory gaps and
challenges in interpretation. Based on the evidence collected and the assessment made in
this report, the Commission has nevertheless flagged specific AI systems for monitoring
and further analysis in subsequent reviews.
(62) In the coming years, market surveillance authorities supervising the application of the
AI Act are encouraged to consider whether the prohibitions set out in Article 5 AI Act
adequately address malicious and specific applications with a high potential for misuse,
drawing from their practical supervisory and enforcement experience. Similarly, once the
rules on high-risk AI systems start to apply and enforcement begins, particular attention
should be given to AI systems that could fall under one of the areas listed in Annex III, but
are not explicitly mentioned among the current list of high-risk use cases. These efforts will
provide evidence-based input for future Commission reports adopted on the basis of Article
112(1) AI Act and assist the Commission in assessing whether the scope of Article 5 and
Annex III AI Act remains adequate over time, thereby paving the way for a well-informed,
objective, and evidence-based review and potential revision of the relevant provisions of
the AI Act.
(63) In accordance with Article 112(1) AI Act, the list of prohibited AI practices laid down
in Article 5 AI Act and the list of use cases of high-risk systems set out in Annex III AI Act
are subject to annual review until the end of the period of the delegation of power laid down
18
in Article 97 AI Act. The next assessment of the Commission pursuant to Article 112 AI
Act is therefore due in 2026 and, once finalised, the Commission will publish its findings
in a report.
(64) To ensure a consistent and systematic collection of relevant data prior to the 2026
assessment, the Commission intends to coordinate ongoing monitoring efforts at national
and EU level. For this purpose, the AI Office will cooperate with the AI Board and national
competent authorities of the Member States, as well as consult, as appropriate, already
established cooperation frameworks of national contact points in the relevant areas.
Particular attention will be paid to the areas flagged for further monitoring and evidence
collection identified in this report. However, monitoring of technological developments, as
well as potential relevant changes in the use of AI systems, their impacts and emerging
risks will also be performed.
(65) In assessing whether risks associated with AI are adequately addressed by existing EU
legislation, once the enforcement of the AI Act has begun and practical experience has been
gained, the analysis will examine how the AI Act interacts with and complements other EU
frameworks in addressing risks to health, safety, and fundamental rights. Particular
attention will be given to the coherence and practical interplay between the AI Act and
instruments such as the Digital Services Act, the Data Governance Act, the Regulation on
the Transparency and Targeting of Political Advertising, as well as the consumer protection
and free movement of goods acquis. Such analysis should seek to establish the extent to
which horizontal rules, sector-specific obligations, data governance mechanisms and
product-related safeguards collectively mitigate the relevant risks, thereby informing
whether further regulatory intervention is necessary.
ET ET
EUROOPA KOMISJON
Brüssel, 20.5.2026
COM(2026) 234 final
KOMISJONI ARUANNE EUROOPA PARLAMENDILE JA NÕUKOGULE
MÄÄRUSE (EL) 2024/1689 ARTIKLI 112 LÕIKE 1 KOHASELT VASTU VÕETUD
ARUANNE VAJADUSE KOHTA VAADATA LÄBI TEHISINTELLEKTI
KEELATUD KASUTUSVIISIDE LOETELU JA III LISA KOHANE SUURE
RISKIGA TEHISINTELLEKTISÜSTEEMIDE LOETELU
1
EUROOPA KOMISJONI ARUANNE EUROOPA PARLAMENDILE JA
NÕUKOGULE
MÄÄRUSE (EL) 2024/1689 ARTIKLI 112 LÕIKE 1 KOHASELT VASTU VÕETUD
ARUANNE VAJADUSE KOHTA VAADATA LÄBI TEHISINTELLEKTI KEELATUD
KASUTUSVIISIDE LOETELU JA III LISA KOHANE SUURE RISKIGA
TEHISINTELLEKTISÜSTEEMIDE LOETELU
1. Kontekst ja taustateave
(1) Euroopa Parlamendi ja nõukogu 13. juuni 2024. aasta määrus (EL) 2024/1689, millega
nähakse ette tehisintellekti käsitlevad ühtlustatud õigusnormid ning muudetakse teatavaid
õigusakte (edaspidi „tehisintellektimäärus“)1 jõustus 1. augustil 2024. Selles määruses on
sätestatud kõikehõlmav õigusraamistik tehisintellekti reguleerimiseks liidus, et edendada
innovatsiooni ja tehisintellekti kasutuselevõttu ning tagada seejuures tervise, ohutuse ja
põhiõiguste, sealhulgas demokraatia ja õigusriigi põhimõtte kõrgel tasemel kaitse Euroopa
Liidus (EL).
(2) Tehisintellektimääruses on järgitud riskipõhist lähenemisviisi ning tehisintellektisüsteemid
on jaotatud nelja eri riskikategooriasse: i) vastuvõetamatu risk; ii) suur risk; iii)
läbipaistvusega seotud risk ja iv) minimaalne risk või riski puudumine. Vastuvõetamatu
riski puhul on tehisintellektimääruses loetletud konkreetsed tehisintellekti kasutamise
viisid, mis on ELis keelatud (tehisintellektimääruse artikkel 5). Tehisintellektisüsteemid
liigitatakse suure riskiga tehisintellektisüsteemideks kooskõlas tehisintellektimääruse
artikliga 6, mida tõlgendatakse koostoimes tehisintellektimääruse I lisa (liidu
ühtlustamisõigusaktide loetelu) ja III lisaga. III lisas on loetletud kaheksa valdkonda ja iga
valdkonna all konkreetsed kasutusjuhtumid, mis Euroopa Parlamendi ja nõukogu hinnangu
kohaselt põhjustavad suurt riski inimeste tervisele ja ohutusele või põhiõigustele.
(3) Tehisintellektimäärus on koostatud paindliku ja tulevikukindla õigusaktina, mis võimaldab
teatavaid õigusnorme kohandada, et võtta arvesse tehnoloogia kiiret arengut, võimalikke
muutusi tehisintellektisüsteemide kasutamises ning tekkivaid riske. Sel eesmärgil on
tehisintellektimäärusega ette nähtud järjepidev seire ja läbivaatamine, et tagada
õigusnormide jätkuv asjakohasus ja tulemuslikkus. See kehtib juba enne seda, kui
konkreetseid sätteid (nt suure riskiga tehisintellektisüsteeme käsitlevad normid) kohaldama
hakatakse.
(4) Tehisintellektimääruse artikliga 112 on ette nähtud eriotstarbeline seiremehhanism
määruse hindamiseks ja läbivaatamiseks. Tehisintellektimääruse artikli 112 lõike 1 alusel
on komisjonile antud ülesanne hinnata pärast määruse jõustumist kord aastas ning määruse
artiklis 97 sätestatud volituste delegeerimise tähtaja lõpuni seda, kas III lisa kohast suure
riskiga tehisintellektisüsteemide loetelu ja artikli 5 kohast tehisintellekti keelatud
kasutusviiside loetelu on vaja muuta. Komisjon peab kõnealuse hindamise tulemused
esitama Euroopa Parlamendile ja nõukogule.
1 Euroopa Parlamendi ja nõukogu 13. juuni 2024. aasta määrus (EL) 2024/1689, millega nähakse ette
tehisintellekti käsitlevad ühtlustatud õigusnormid (tehisintellekti käsitlev määrus) (ELT L, 2024/1689, 12.7.2024).
2
(5) Käesolev aruanne on esimene selle sätte alusel vastu võetud aruanne. Selle eesmärk on
hinnata, kas tehisintellektimääruse III lisas sätestatud kasutusjuhtumite loetelu ning
artikli 5 kohast tehisintellekti keelatud kasutusviiside loetelu on vaja muuta, et tagada
tehisintellektimääruse jätkuv asjakohasus ja tulemuslikkus tehisintellektitehnoloogia kiire
arengu taustal. Käesolevas aruandes ei vaadata läbi III lisaga hõlmatud valdkondade
loetelu, arvestades et komisjon peab selle vastavalt tehisintellektimääruse artikli 112
lõikele 2 läbi vaatama alles 2. augustiks 2028.
(6) Esmalt tutvustatakse aruande koostamisel kasutatud meetodeid. Seejärel esitatakse nende
meetodite põhjal hinnang selle kohta, kas tehisintellektimääruse III lisa kohane suure
riskiga kasutusjuhtumite loetelu ja artikli 5 kohane tehisintellekti keelatud kasutusviiside
loetelu tuleks läbi vaadata.
(7) Käesolevas aruandes esitatud hinnangut piirab asjaolu, et aruande vastuvõtmise seisuga on
tehisintellektimääruse jõustumisest möödunud vähe aega ning kohaldamise ulatus on
piiratud. Tehisintellektimääruse II peatükki (keelatud kasutusviisid) hakati kohaldama
2. veebruaril 2025. Selle peatüki täitmise tagamist käsitlevaid õigusnorme hakatakse aga
kohaldama alles 2. augustist 2026 ning riikide pädevate asutuste määramine on alles
pooleli. Tehisintellektimääruse III lisas loetletud suure riskiga tehisintellektisüsteemidega
seotud kohustusi hakatakse samuti kohaldama alates 2. augustist 2026, kusjuures selle
puhul kaalutakse tähtaja edasilükkamist2. Kui komisjoni suunised tehisintellekti keelatud
kasutusviiside kohta avaldati 2025. aasta veebruaris,3 siis suure riskiga
tehisintellektisüsteemide liigitamist käsitlevad suunised on veel koostamisel. Nendes
suunistes selgitatakse teatavaid mõisteid ja tehisintellekti konkreetsete kasutusjuhtumite
liigitust, mida arendatakse lisaks tehisintellektimääruse III lisa ja seotud sätete praktilise
kohaldamise käigus.
2. Tehisintellektimääruse artikli 112 lõike 1 kohaseks läbivaatamiseks vastu võetud
meetodid
(8) Tehisintellektimääruse artikli 112 lõike 11 kohaselt peaks Euroopa tehisintellektiamet
artikli 112 lõikes 1 osutatud hindamiste ja läbivaatamiste hõlbustamiseks välja arendama
objektiivse ja osalusel põhineva riskitasemete hindamise metoodika, mis põhineb
asjaomastes artiklites sätestatud kriteeriumidel ja uute süsteemide lisamisel III lisas
sätestatud loetellu (sealhulgas olemasolevate valdkondade rubriikide laiendamine või uute
2 Tehisintellekti käsitlevas digitaalses koondõigusaktis tegi komisjon ettepaneku viia suure riskiga tehisintellekti
käsitlevate õigusnormidega seotud ajakava vastavusse standardite ja muude toetusvahendite kättesaadavaks
tegemisega. Kui komisjon on kinnitanud, et kõnealused ressursid on piisaval määral kättesaadavad, hakatakse
õigusnorme kohaldama pärast III lisa kohaste suure riskiga tehisintellektisüsteemide jaoks ette nähtud kuuekuulist
üleminekuperioodi ja igal juhul hiljemalt 2. detsembril 2027. Selle küsimuse üle peetakse veel läbirääkimisi ning
Euroopa Parlament ja nõukogu peavad selle suhtes kokkuleppele jõudma. Lisateabe saamiseks vt ettepanek
Euroopa Parlamendi ja nõukogu määruse kohta, millega muudetakse määrusi (EL) 2024/1689 ja (EL) 2018/1139
seoses tehisintellekti käsitlevate ühtlustatud õigusnormide rakendamise lihtsustamisega (tehisintellekti käsitlev
digitaalne koondõigusakt). {SWD(2025) 836 final}, Brüssel, 19.11.2025, COM(2025) 836 final, 2025/0359
(COD). 3 Kättesaadav järgmisel aadressil: Commission publishes the Guidelines on prohibited artificial intelligence (AI)
practices, as defined by the AI Act. | Shaping Europe’s digital future.
3
valdkondade rubriikide lisamine sellesse lisasse) ja artiklis 5 sätestatud keelatud
kasutusviiside loetellu.
(9) Aruande käesolevas jaotises kirjeldatakse metoodikat, mille Euroopa tehisintellektiamet
töötas aruande koostamise etapis välja kõnealuse kohustuse täitmiseks. Kõigepealt
esitatakse ülevaade õiguslikest kriteeriumidest, mille alusel vaadatakse läbi
tehisintellektimääruse artikli 5 kohane tehisintellekti keelatud kasutusviiside loetelu ja
III lisa kohane suure riskiga tehisintellektisüsteemide loetelu (punkt 2.1 allpool). Nendest
õiguslikest kriteeriumidest lähtutakse võimaliku läbivaatamise vajaduse edasisel
hindamisel, eeskätt mis puudutab konkreetseid tehisintellektisüsteeme, mis võivad kuuluda
nendesse kahte kategooriasse. Järgmisena kirjeldatakse aruandes osalusel põhinevaid
meetodeid, mida kasutati tõendite kogumiseks ja analüüsiks, samuti kogu
hindamisprotsessis järgitud lähenemisviisi (punkt 2.2 allpool).
2.1. Õiguslikud kriteeriumid, et hinnata vajadust muuta tehisintellekti keelatud
kasutusviiside loetelu tehisintellektimääruse artiklis 5 ja suure riskiga
kasutusjuhtumite loetelu tehisintellektimääruse III lisas
(10) Hindamisel, kas tehisintellektimääruse artikli 5 kohast tehisintellekti keelatud
kasutusviiside loetelu ja tehisintellektimääruse III lisa kohast suure riskiga
kasutusjuhtumite loetelu on vaja muuta, lähtutakse õiguslikest kriteeriumidest.
Tehisintellektimääruse III lisa puhul on kõnealused kriteeriumid sõnaselgelt esitatud
tehisintellektimääruse artiklis 7, kuid artikli 5 puhul tulenevad need kriteeriumid õigusakti
aluspõhimõtetest.
2.1.1. Artikli 5 kohase keeldude loetelu läbivaatamise kriteeriumid
(11) Tehisintellektimääruse artikliga 5 on keelatud teatavate selliste piiratud arvul
tehisintellektisüsteemide turule laskmine, kasutusele võtmine või kasutamine, mis on
mõeldud manipuleerimiseks, ärakasutamiseks, sotsiaalseks kontrolliks, jälgimiseks või
muuks otstarbeks, mis on oma olemuselt vastuolus põhiõigustega ja ELi väärtustega.
Tehisintellektimääruse põhjenduses 28 selgitatakse, et sellised kasutusviisid on eriti
kahjulikud ja kuritarvituslikud, sest need on vastuolus selliste liidu väärtustega nagu
inimväärikuse austamine, vabadus, võrdsus, demokraatia ja õigusriik ning Euroopa Liidu
põhiõiguste hartas (edaspidi „põhiõiguste harta“) sätestatud põhiõigustega4. Sellest
tulenevalt võib tehisintellektimääruse artikli 5 läbivaatamine olla põhjendatud alati, kui on
veenvaid tõendeid selle kohta, et kehtivad keelud ei tõkesta asjakohasel viisil selliseid
tehisintellekti uusi või kujunemisjärgus kasutusviise, mis seavad reaalselt ohtu ELi
väärtused või põhiõiguste hartas talletatud põhiõigused ning mida võib pidada eriti
kahjulikuks ja kuritarvituslikuks.
(12) Peale selle on tehisintellektimääruse artikli 5 lõikes 8 sätetatud, et tehisintellektimäärus
ei mõjuta muude ELi õigusaktide alusel kehtivaid keelde. Selle sättega rõhutatakse
4 Euroopa Liidu põhiõiguste harta. ELT C 326, 26.10.2012, lk 391–407.
4
tehisintellektimääruse koostoimet muude õigusraamistikega, arvestades selle
horisontaalset olemust5. Üldjoontes on tehisintellektimääruses sätestatud keeldude
põhieesmärk keskenduda puudustele, mida ei ole veel käsitletud teistes ELi õigusaktides
ning mis nõuavad konkreetselt tehisintellektile kohandatud turupõhiseid õigusnorme.
Ehkki teisi ELi õigusakte võidakse kohaldada paralleelselt, on paratamatu, et nendes
käsitletakse probleeme teistsugustest vaatenurkadest ja et õigusnormide täitmine tagatakse
teistsuguste mehhanismidega, mistõttu ei pruugita teatavate vastuvõetamatute
tehisintellekti kasutusviisidega kaasnevaid riske piisaval määral maandada.
(13) Selle tulemusena lähtub komisjon tehisintellekti keelatud kasutusviiside loetelu
(tehisintellektimääruse artiklis 5) läbivaatamise vajaduse hindamisel sellest, kas täidetud
on vähemalt kaks kumulatiivset tingimust:
• on uusi või alles kujunemisjärgus olevaid tehisintellekti kasutusviise, mis ohustavad
ELi väärtusi või põhiõiguste hartas talletatud õigusi või vabadusi ega ole loetletud
keelatud kasutusviiside kehtivas loetelus tehisintellektimääruse artiklis 5, ning
• olenemata sellest, et kohaldatakse muid ELi õigusakte, esineb endiselt
regulatiivseid lünki, mistõttu on vaja tehisintellektimääruse kohased keelud läbi
vaadata, et need hõlmaksid kõiki kahjulikke tehisintellekti kasutusviise.
(14) Artiklit 5 saab muuta üksnes õigusnormide muutmisega. Kui selgub, et
tehisintellektimääruse artiklit 5 on vaja muuta, esitab komisjon seega oma hindamise
tulemused Euroopa Parlamendile ja nõukogule ning kaalub vajadust esitada sellekohane
seadusandlik ettepanek.
2.1.2. III lisas loetletud suure riskiga tehisintellektisüsteemide läbivaatamise kriteeriumid
(15) Tehisintellektimääruse artiklis 6 (koostoimes I ja III lisaga) käsitletakse teatavaid
selliseid tehisintellektisüsteemide kasutusviise, mis liigitatakse suure riskiga
kasutusviisideks, kuna need kujutavad endast märkimisväärset ohtu inimeste tervisele,
ohutusele või põhiõigustele. Suure riskiga tehisintellektisüsteeme tohib turule lasta,
kasutusele võtta või kasutada üksnes siis, kui need vastavad teatavatele
tehisintellektimääruses sätestatud kohustuslikele nõuetele, mille eesmärk on neid riske
maandada.
Nõue piirduda läbivaatamisel III lisas loetletud suure riskiga tehisintellektisüsteemide
kasutusjuhtumitega
(16) Tehisintellektimääruses on suure riskiga tehisintellektisüsteemide puhul eristatud kaht
kategooriat, millele on osutatud tehisintellektimääruse artikli 6 lõigetes 1 ja 2. Esimesse
kategooriasse kuuluvad tehisintellektisüsteemid, mis on projekteeritud toodete
turvakomponentidena või on ise tooted, mida reguleeritakse I lisas loetletud liidu
ühtlustamisõigusaktidega, ning millel võib olla kahjulik mõju inimeste tervisele ja
ohutusele, mistõttu liigitatakse need suure riskiga tehisintellektisüsteemideks
tehisintellektimääruse artikli 6 lõike 1 alusel. Teise kategooriasse kuuluvad
tehisintellektisüsteemid, mille puhul leitakse nende sihtotstarbe tõttu, et need kujutavad
endast märkimisväärset ohtu tervisele, ohutusele või põhiõigustele, ning mis seega
5 Vt selles küsimuses tehisintellekti keelatud kasutusviise käsitlevate suuniste punktid 2.8, 3.6, 4.4, 5.4, 6.4, 8.4.
5
liigitatakse suure riskiga tehisintellektisüsteemideks tehisintellektimääruse artikli 6 lõike 2
alusel.
(17) Kuna tehisintellektimääruse artikli 112 lõikes 1 keskendutakse võimalikule vajadusele
vaadata läbi III lisa kohased suure riskiga kasutusjuhtumid, ei käsitleta käesolevas aruandes
neid tehisintellektisüsteeme, mis on turvakomponendid või teatavate I lisas loetletud ELi
ühtlustamisõigusaktide kohaldamisalasse kuuluvad tooted. Käesolevas aruandes
mõistetakse suure riskiga tehisintellektisüsteemide all üksnes autonoomseid
tehisintellektisüsteeme,6 mis kuuluvad III lisas loetletud eelnevalt kindlaks määratud
valdkondade alla.
Artiklis 7 loetletud kriteeriumid suure riskiga tehisintellektisüsteemide kasutusjuhtumite
muutmiseks
(18) Tehisintellektimääruse artikliga 7 on komisjonile antud õigus III lisa delegeeritud
õigusaktidega muuta suure riskiga tehisintellektisüsteemide kasutusjuhtumite lisamise,
muutmise või väljajätmise teel, et arvestada tehnoloogia kiire arengu ning ka võimalike
muutustega tehisintellektisüsteemide kasutamises (vt ka tehisintellektimääruse
põhjendused 52 ja 173). Selle õiguse suhtes kohaldatakse tehisintellektimääruse artikli 7
lõigetes 1–3 sätestatud tingimusi.
(19) Esiteks on tehisintellektimääruse artikli 7 lõikes 1 sätestatud, et komisjon võib
delegeeritud õigusakte vastu võtta selleks, et lisada III lisasse uusi kasutusjuhtumeid või
selles lisas juba loetletud kasutusjuhtumeid muuta, tingimusel et i) tehisintellektisüsteemid
on mõeldud kasutamiseks ühes nendest kaheksast valdkonnast, mis on loetletud III lisas,
ning ii) need tekitavad riski, mis on samaväärne juba loetletud juhtumite riskiga või sellest
suurem. Kõnealuse teise tingimusega on sätestatud võrdleva riskihindamise künnis –
peamine tingimus suure riskiga tehisintellektisüsteemide uute kasutusjuhtumite lisamiseks
on see, et nende risk inimeste tervisele ja ohutusele või põhiõigustele peab olema
samaväärne III lisas juba loetletud kasutusjuhtumite riskiga. Sellega tagatakse suure riskiga
tehisintellektisüsteemide liigitamise järjepidevus ja proportsionaalsus.
(20) Artikli 7 lõikes 2 on sätestatud kriteeriumid, mida tuleb arvesse võtta selle
kindlakstegemisel, kas kõnealune künnis on täidetud. Siia kuuluvad muu hulgas
tehisintellektisüsteemi sihtotstarve, see, millises ulatuses tehisintellektisüsteemi
tõenäoliselt kasutatakse, töödeldavate andmete laad ning juba tekitatud kahju või võimaliku
tekkiva kahju ulatus. Tehisintellektimääruse põhjenduses 52 on nende kriteeriumide
loogika selgitamiseks märgitud, et autonoomsed tehisintellektisüsteemid on asjakohane
liigitada suure riskiga tehisintellektisüsteemideks siis, kui need põhjustavad oma
sihtotstarbe tõttu suurt riski inimeste tervisele ja ohutusele või põhiõigustele, võttes arvesse
nii võimaliku kahju raskusastet kui ka selle tekkimise tõenäosust, ja kui neid kasutatakse
tehisintellektimääruses eelnevalt täpselt kindlaks määratud valdkondades. Komisjonil on
nende kriteeriumide kohaldamisel teatav kaalutlusruum, tingimusel, et neid võetakse
nõuetekohaselt arvesse ja need loetakse täidetuks üldisel hindamisel.
(21) Selle tulemusena ei ole tehisintellektimääruse III lisa kohase loetelu muutmise künnis
ainuüksi tehnoloogiline uudsus ega üldsuse mure, vaid see, et tehisintellektisüsteem tekitab
tõendatavat riski tervisele, ohutusele või põhiõigustele ning et see risk on võrreldav III lisas
praegu loetletud tehisintellektisüsteemide riskiga.
6 Suure riskiga tehisintellektisüsteemid, mis ei ole toodete turvakomponendid ega tooted, mida saab artikli 6
lõike 1 alusel liigitada suure riskiga toodeteks.
6
Suure riskiga tehisintellektisüsteemide kasutusjuhtumite väljajätmine III lisast
(22) Tehisintellektimääruse artikli 7 lõikes 3 on sätestatud kriteeriumid suure riskiga
tehisintellektisüsteemide kasutusjuhtumite väljajätmiseks III lisast. Selleks peab komisjon
tõendama, et kasutusjuhtum ei tekita enam suurt riski ning et selle väljajätmine ei vähenda
tervise, ohutuse või põhiõiguste kaitse üldist taset liidu õiguse alusel.
2.2. Metoodika objektiivseks ja osalusel põhinevaks tõendite kogumiseks ja
analüüsiks käesolevas aruandes ning järgitud menetlused
(23) Tehisintellektimääruse artikli 112 lõike 11 kohaselt peab Euroopa tehisintellektiamet
välja arendama objektiivse ja osalusel põhineva metoodika aruandes käsitletava
läbivaatamise vajaduse hindamiseks. Peale selle võib komisjon tehisintellektimääruse
artikli 112 lõigete 8 ja 9 kohaselt küsida oma aruande koostamiseks teavet Euroopa
tehisintellekti nõukojalt (edaspidi „tehisintellekti nõukoda“), liikmesriikidelt ja riikide
pädevatelt asutustelt ning peab läbivaatamise ja hindamise käigus arvesse võtma
tehisintellekti nõukoja, Euroopa Parlamendi, nõukogu ning muude asjaomaste organite ja
allikate seisukohti ja tähelepanekuid.
(24) Vastavalt nendele sätetele kasutas komisjon käesoleva aruande koostamisel
alljärgnevalt kirjeldatud metoodikat.
• Koostöö tehisintellekti nõukojaga ning konsulteerimine liikmesriikide ja
nende pädevate asutustega
Komisjon tegi koostööd liikmesriikide ja riikide pädevateks asutusteks
määratavate asjaomaste asutustega ning esitas asjakohaseid küsimusi
tehisintellekti nõukoja kaudu. Menetluses osales mitu tehisintellekti nõukoja
allrühma.
• Konsulteerimine sidusrühmadega
Korraldati mitut sidusrühma hõlmanud konsulteerimine, et koguda tagasisidet
ja seisukohti paljudelt erinevatelt sidusrühmadelt, sealhulgas sektori esindajad,
teadusringkond, kodanikuühiskond ja üldsus.
• Empiirilised uuringud – tehisintellektiga seotud intsidentide andmebaaside
analüüs
Selleks et tagada terviklik ja tõenduspõhine lähenemisviis, lähtudes
empiirilistest tõenditest tehisintellektisüsteemide põhjustatud kahju kohta,
analüüsis komisjon ka asjakohaseid tehisintellektiga seotud intsidentide
andmebaase.
(25) Alljärgnevates punktides kirjeldatakse täpsemalt metoodikat, mida kasutati tõendite
objektiivseks ja osaluspõhiseks kogumiseks ja analüüsiks käesoleva aruande tarbeks.
Seejuures kirjeldatakse meetodeid, mille abil tagati, et kogutud teave oleks põhjalik ja
kajastaks eri sidusrühmade seisukohti ning toetaks seega läbipaistvat, tõenduspõhist ja
nõuetekohaselt põhjendatud hindamist.
3. Kogutud teabe analüüs
7
3.1. Liikmesriikide ja tehisintellekti nõukojaga konsulteerimise tulemusena
saadud sisendteabe analüüs
(26) Euroopa tehisintellektiamet konsulteeris liikmesriikidega tehisintellekti nõukoja
asjaomaste allrühmade kaudu7 ning palus neil esitada oma seisukohad koosolekutel
kohapeal või kirjalikult.
3.1.1. Liikmesriikide seisukoht vajaduse kohta vaadata läbi tehisintellektimääruse
artikli 5 kohane keelatud kasutusviiside loetelu
Üldine seisukoht
(27) Euroopa tehisintellekti nõukoja asjaomase allrühma konsultatsiooni käigus märkis
enamik kohapeal esindatud liikmesriikidest, et selles etapis ei näe nad vajadust
tehisintellektimääruse artikli 5 kohast tehisintellekti keelatud kasutusviiside loetelu muuta.
Lisaks esitas üheksa liikmesriiki e-posti teel kirjalikud seisukohad, milles kinnitasid
samamoodi, et loetelu muutmist ei peeta vajalikuks. Sarnased vastused saadi ka kahelt
allrühma vaatlejalt.
(28) Vastanud liikmesriikide esindajad märkisid korduvalt, et kuna tehisintellektisüsteemide
määratlust ja keelatud kasutusviise käsitlevaid tehisintellektimääruse sätteid hakati
kohaldama alles 2. veebruaril 2025, täitmise tagamist käsitlevaid õigusnorme hakatakse
kohaldama 2. augustil 2026 ning täitmise tagamise mehhanismid ei ole veel kasutusele
võetud, on eriti kahjulike ja kuritarvituslike ning ELi väärtuste ja põhiõigustega vastuolus
olevate kasutusviiside hindamine alles algusjärgus. Arvestades, et tehisintellektimääruse
artikli 5 kohaldamise algusest on möödunud vähe aega, ei ole praegu kogunenud praktilisi
kogemusi ega andmeid konkreetsete kasutusjuhtumite kohta, mille põhjal saaks
tehisintellektimääruse kohaste keeldude tulemuslikkust hinnata. Seega leiti, et sisukama
panuse saab anda siis, kui asjaomased sätted on olnud jõus kauem. Praeguses etapis on
liikmesriikide arvates saadaval vähe konkreetseid andmeid või analüüsitulemusi, mis
läbivaatamist põhjendaksid.
(29) Neid kaalutlusi arvesse võttes olid liikmesriigid üldisel seisukohal, et igasugused
jõupingutused keelatud kasutusviiside loetelu läbivaatamiseks või muutmiseks oleksid
asjakohasemad hilisemas etapis, kui kogunenud on piisavalt rakendamiskogemust.
Täiendavat jälgimist vajavad probleemid
(30) Üks liikmesriik soovitas, et võib olla asjakohane hinnata võimalust lisada tehisintellekti
keelatud kasutusviiside loetellu sellise pahavara arendamiseks või levitamiseks
mõeldud tehisintellektisüsteemid, mis võivad kahjustada elutähtsat taristut, põhjustada
turvarikkeid andmebaasides või seada ohtu põhiõigused. Pärast selle soovituse
analüüsimist leidis komisjon, et riskid, mida kõnealuse keeluga käsitletaks, on nähtavasti
7 Eelkõige küsiti liikmesriikidelt arvamust III lisa kohase kasutusjuhtumite loetelu ja artikli 5 kohaste
tehisintellekti keelatud kasutusviiside loetelu läbivaatamise vajaduse kohta järgmistel koosolekutel: tehisintellekti
nõukoja keeldude allrühma neljas koosolek 13. mail 2025; tehisintellekti nõukoja III lisas loetletud suure riskiga
tehisintellektisüsteemide allrühma kolmas koosolek 16. mail 2025; tehisintellekti nõukoja õiguskaitse- ja
julgeolekuküsimuste allrühma kolmas koosolek 5. juunil 2025; tehisintellekti nõukoja finantsteenuste allrühma
teine koosolek 13. mail 2025.
8
piisaval määral hõlmatud mitmesuguste ELi õigusaktidega,8 kuid märkis küsimuse siiski
täiendavat jälgimist ja hindamist vajava probleemina.
3.1.2. Liikmesriikide seisukoht vajaduse kohta muuta tehisintellektimääruse III lisa
kohaseid suure riskiga kasutusjuhtumeid
Üldine seisukoht
(31) Küsimust, kas tehisintellektimääruse III lisa kohast suure riskiga kasutusjuhtumite
loetelu on vaja muuta, arutati Euroopa tehisintellekti nõukoja allrühmade mitmel
koosolekul. Nendel koosolekutel märkisid paljud kohal viibinud liikmesriigid, et praegu ei
ole nende arvates vaja III lisa muuta. Peale selle esitasid seitse liikmesriiki e-posti teel
kirjalikud avaldused, milles kinnitasid samuti arvamust, et III lisa ei ole praeguses etapis
vaja muuta.
(32) Nagu eespool kirjeldatud kaalutluste puhul, mis olid seotud tehisintellekti keelatud
kasutusviiside võimaliku muutmisega tehisintellektimääruse artiklis 5, märkisid paljud
vastanud liikmesriigid, et nad veel hindavad mõju, mida III lisas praegu loetletud suure
riskiga tehisintellekti kasutusjuhtumite õigusraamistik kaasa toob. Suure riskiga
tehisintellektisüsteeme käsitlevad õigusnormid ei ole veel kohaldatavad ning komisjon ei
ole avaldanud vastavaid suuniseid suure riskiga tehisintellektisüsteemide liigitamise kohta.
Neid kaalutlusi arvesse võttes olid liikmesriigid üldjoontes seisukohal, et
tehisintellektimääruse III lisa kohaselt kehtivat suure riskiga kasutusjuhtumite loetelu oleks
ennatlik muuta.
Täiendavat jälgimist vajavad probleemid
(33) Kaks liikmesriiki tõstatasid küsimused teatavate konkreetsete tehisintellekti
kasutusjuhtumite kohta9.
(34) Muu hulgas väljendati kahtlust selle suhtes, kuidas reguleerida eneseabiks
(teraapiaks) mõeldud tehisintellektipõhiseid juturoboteid,10 mis ei kuulu
meditsiiniseadmete määruse kohaldamisalasse11. Eneseabiks (teraapiaks) mõeldud
tehisintellektipõhised juturobotid on tehisintellekti toega digivahendid, mis on välja
8 Nt ELi küberturvalisuse õigusaktid (vt hiljutistest õigusaktidest ELi kübersolidaarsuse määrus), direktiiv
2013/40/EL, milles käsitletakse infosüsteemide vastu suunatud ründeid ja millega asendatakse nõukogu raamotsus
2005/222/JSK. 9 Nagu on märgitud eespool, avaldatakse komisjoni suunised suure riskiga tehisintellektisüsteemide kohta alles
2026. aastal. Seepärast põhinevad hinnangud konkreetsete suure riskiga tehisintellektisüsteemide kohta, millele
osutasid liikmesriigid või sidusrühmad või mis tuvastati tehisintellektiga seotud intsidentide andmebaasides,
ainult tehisintellektimääruse tekstil. Kuna praeguses etapis on saadaval vähe suuniseid, ei olnud kõigil juhtudel
võimalik anda kindlat hinnangut ning need juhtumid on märgitud täiendavat jälgimist vajavate küsimustena. 10 Sarnaseid kahtlusi väljendasid ka paljud sidusrühmad (vt punkt 3.2 allpool). 11 Kui juturobotit turustatakse väitega, et see on mõeldud konkreetsete vaimse tervise probleemidega tegelemiseks
või kasutajate toetamiseks terapeutilistes sekkumistes, kuulub see tõenäoliselt meditsiiniseadmete määruse
kohaldamisalasse, sest seda võib käsitada tarkvarana, mis on ette nähtud haiguse raviks või leevendamiseks
(meditsiiniseadmete määruse artikli 2 punkt 1). Euroopa Parlamendi ja nõukogu 5. aprilli 2017. aasta määrus
(EL) 2017/745, milles käsitletakse meditsiiniseadmeid, millega muudetakse direktiivi 2001/83/EÜ, määrust (EÜ)
nr 178/2002 ja määrust (EÜ) nr 1223/2009 ning millega tunnistatakse kehtetuks nõukogu direktiivid 90/385/EMÜ
ja 93/42/EMÜ. ELT L 117, 5.5.2017, lk 1–175.
9
töötatud selleks, et pakkuda kasutajatele vestlusliideste kaudu vaimse tervise tuge ja
emotsionaalset abi. Kuigi neid esitletakse heaoluvahenditena, mitte meditsiiniseadmetena,
mõjutavad need siiski kasutajate vaimse tervisega seotud otsuseid, samuti võivad need
töödelda tundlikke isikuandmeid. Sellest tulenevalt on oht, et nende juturobotite pakutav
tugi ja emotsionaalne abi võib avaldada üksikisikute vaimsele tervisele negatiivset mõju.
Seda silmas pidades tõstatas üks liikmesriik küsimuse, kas sellised süsteemid tuleks
liigitada suure riskiga tehisintellektisüsteemidena.
(35) Pärast selle küsimuse analüüsimist on komisjon arvamusel, et kui eneseabiks mõeldud
juturobotid vastavad meditsiiniseadme määratlusele, on nende suhtes kohaldatavad
meditsiiniseadmete määruses sätestatud ranged nõuded ja kontrollimeetmed. Peale selle
võivad kõige ohtlikumad eneseabiks mõeldud tehisintellektipõhised juturobotid kuuluda
tehisintellektimääruse artikli 5 punktide a ja b kohaste keeldude alla. Mis puudutab muude
eneseabiks mõeldud tehisintellektipõhiste juturobotite liigitamist suure riskiga
tehisintellektisüsteemideks, siis ei saaks enamikku sellistest tehisintellektisüsteemidest
paigutada III lisas praegu loetletud kasutusjuhtumite alla, kuid on teatavaid erandeid12.
Lisaks võivad tehisintellektimääruse artiklis 50 sätestatud avalikustamiskohustused
vähemalt teataval määral toimida meetmena, mis aitab maandada teatavaid eneseabiks
mõeldud tehisintellektipõhiste juturobotitega seostatavaid riske, eeskätt neid, mis on seotud
teadlike otsuste tegemise ning kõnealuse suhtluse võimaliku psühholoogilise mõjuga
üksikisikutele. Seepärast hindab komisjon enne III lisa võimalike muudatuste kaalumist,
kuidas aitavad kõnealused sätted eespool osutatud riske praktikas maandada. Sellegipoolest
tunnistab komisjon, et praeguses etapis tuleks sellist tüüpi tehisintellektisüsteemi
kasutamist ja sellega seostatavaid võimalikke riske hoolikalt jälgida ning koguda
järgnevatel aastatel täiendavaid tõendeid, eeskätt siis, kui suure riskiga
tehisintellektisüsteeme käsitlevaid tehisintellektimääruse sätteid kohaldama hakatakse.
(36) Veel üks probleem oli seotud tehisintellektipõhise personaliseeritud õppega.
Tehisintellektimääruse artiklis 7 loetletud kriteeriumide alusel tehtud analüüsi tulemusena
järeldas komisjon, et iseseisvaks õppeks mõeldud tehisintellektisüsteemid enamasti ei
tekita riske, mis oleksid samaväärsed tehisintellektimääruse III lisas loetletud
tehisintellektisüsteemide riskidega või neist suuremad. Eeskätt on vähe empiirilisi tõendeid
selle kohta, et kõnealused süsteemid tekitavad suurt riski, ning nende süsteemidega seotud
intsidente ei ole tuvastatud. Sarnane järeldus tehti tehisintellektisüsteemide kohta, mida
kasutatakse iseseisvaks õppeks mõeldud personaliseeritud sisuga õppematerjalide
koostamiseks. Muid tehisintellektipõhise personaliseeritud õppe kasutusjuhtumeid
selgitatakse täiendavalt komisjoni avaldatavates suunistes suure riskiga süsteemide
liigitamise kohta.
(37) Viimase aspektina soovitas üks liikmesriik laiendada tehisintellektimääruse III lisa nii,
et see hõlmaks tehisintellekti kasutamise juhtumeid avaliku sektori asutuste
loamenetlustes juhtudel, kui üksikisik taotleb näiteks juhi- või relvaluba või luba
laskemoona või keemiliste ainete käitlemiseks või lõhkeainetega töötamiseks. Praeguses
etapis on vähe tõendeid selle kohta, et kõnealuste kasutusjuhtumite puhul on põhjendatud
liigitada need suure riskiga kasutusjuhtumiteks tehisintellektimääruse artiklis 7 sätestatud
12 Näiteks sellised eneseabiks mõeldud tehisintellektipõhised juturobotid, millel on
emotsioonituvastusfunktsioonid. Tehisintellektisüsteemid, mis on ette nähtud emotsioonituvastuseks, on liigitatud
suure riskiga tehisintellektisüsteemideks III lisa punkti 1 alapunkti c alusel.
10
kriteeriumide alusel. Seda silmas pidades leiab komisjon, et neid riske tasub edaspidi
jälgida.
3.2. Sidusrühmadega konsulteerimise tulemusena saadud sisendandmete analüüs
(38) 6. juunist 18. juulini 2025 konsulteeris komisjon eri sidusrühmadega,13 et koguda
sisendandmeid suure riskiga tehisintellektisüsteeme käsitlevate tehisintellektimääruse
õigusnormide rakendamise kohta. Ka see konsultatsioon hõlmas mitut küsimust võimaliku
vajaduse kohta muuta suure riskiga kasutusjuhtumite loetelu tehisintellektimääruse III lisas
ja tehisintellekti keelatud kasutusviiside loetelu tehisintellektimääruse artiklis 5.
(39) Kokku laekus 547 vastust eri sidusrühmadelt, sealhulgas ettevõtjatelt,
kodanikuühiskonna organisatsioonidelt, teadusringkonnalt, avalik-õiguslikelt asutustelt ja
isiklikes huvides tegutsevatelt isikutelt14.
3.2.1. Sidusrühmade arvamused vajaduse kohta vaadata läbi tehisintellektimääruse
artikli 5 kohane keeldude loetelu
(40) Ehkki märkimisväärne arv sidusrühmi pidas praegu kehtivat loetelu piisavaks,15 oli
neid, kes soovitasid lisada täiendavaid keelde16. Enamik vastanud sidusrühmadest ei
pooldanud ühegi kehtiva keelu kaotamist.
(41) Komisjon hindas sidusrühmade soovitusi seoses täiendavate keeldude lisamisega
eespool punktis 2.1.1 kirjeldatud metoodika ja kriteeriumide alusel. Eeskätt püüdis
komisjon saadud soovituste alusel kindlaks teha sellised kasutusviisid, mida võib pidada
eriti kahjulikuks ja kuritarvituslikuks ning ELi väärtuste ja põhiõigustega vastuolus olevaks
ning millele kehtivates ELi õigusaktides piisaval määral ei keskenduta. Selle lähenemisviisi
alusel hinnati, kas väljapakutud lisanduste puhul on tehisintellekti keelatud kasutusviiside
loetellu lisamine põhjendatud või on asjakohasem tegeleda nendega tehisintellektimääruse
muude regulatiivsete mehhanismide abil või vajaduse korral teiste ELi õigusaktide alusel.
(42) Märkimisväärne arv soovitusi leiti olevat piisaval määral hõlmatud
tehisintellektimääruse kehtivate sätetega – kas tehisintellektimääruse artiklis 5 sätestatud
keelud, tehisintellektimääruse III või I lisa, kus teatavad tehisintellektisüsteemid on
liigitatud suure riskiga süsteemideks, või tehisintellektimääruse artiklis 50 sätestatud
läbipaistvusnõuded. Osa soovitusi ei tundunud vastavat künnisele, mis õigustaks keelu
13 Komisjon algatab suure riskiga tehisintellektisüsteeme käsitleva avaliku konsultatsiooni | Euroopa e-
õiguskeskkonna portaal. 14 Kokku 409 vastanut märkis, et esindavad mõnd organisatsiooni. Nende hulgas olid suurima rühmana esindatud
äriühingud (150 vastust), ühendused (93 vastus) ja „muud organisatsioonid“ (81 vastust). Kodanikuühiskonna
organisatsioonidelt või ühendustelt laekus 56 vastust, samal ajal kui uurimisinstituudid (11 vastust), ülikoolid
(7 vastust), mõttekojad (6 vastust) ja tarbijaorganisatsioonid (5 vastust) olid organisatsioonide seas vähemuses.
Kokku 138 vastanut märkis, et tegutsevad isiklikes huvides. Nende hulgas oli kõige rohkem selliseid vastanuid,
kes kirjeldasid end muude sõltumatute ekspertidena või asjakohaste eksperditeadmistega organisatsioonidena
(35), tehisintellektisüsteemi pakkujatena (34) või teadusringkonna esindajatena (28); 14 vastanut valis variandi
„Muu“ ja 13 vastanut märkisid end olevat tehisintellektisüsteemi juurutajad. Nende vastanute seas, kes märkisid,
et tegutsevad isiklikes huvides, osutas mõni sidemetele kodanikuühiskonna organisatsiooniga (7), muude
operaatoritega (3), ettevõtjate ühendusega (2) või järelevalveasutusega (2). 15 Nii nende vastanute puhul, kes väljendasid oma vastustes seda seisukohta sõnaselgelt, kui ka nende puhul, kes
kõnealust küsimust ei kommenteerinud, loeti, et kehtivat keeldude loetelu peetakse piisavaks. 16 Veidi enam kui 10 % vastanutest.
11
lisamist tehisintellektimäärusesse, võttes arvesse tehisintellekti arengu ja juurutamise
praegust seisu ning ka tehisintellektiga seoses registreeritud intsidente17.
(43) Alljärgnevad probleemid, millele sidusrühmad korduvalt osutasid, märgiti täiendavat
jälgimist ja praktika hindamist vajavateks küsimusteks.
• Biomeetria valdkonnas olid paljud soovitused seotud emotsioonituvastustehnoloogia
kasutamist käsitleva keelu (tehisintellektimääruse artikli 5 lõike 1 punkt f)
laiendamisega. Selline kasutusviis on keelatud töökohal ja haridusasutustes18.
Kõnealuste süsteemide kasutamine kõigis muudes valdkondades kuulub
tehisintellektimääruse III lisa (suure riskiga tehisintellektisüsteemid) punkti 1 alla.
Peale selle peavad emotsioonituvastussüsteemide juurutajad tehisintellektimääruse
artikli 50 lõike 3 kohaselt andma süsteemi tööst teada füüsilistele isikutele, kes selle
süsteemiga kokku puutuvad. Paljud vastanud väljendasid aga muret seoses nende
süsteemide kasutamisega tundlikus kontekstis (nt ränne) ja pakkusid välja, et selle
asemel et kohaldada nende suhtes suure riskiga süsteemidele esitatavaid regulatiivseid
nõudeid, tuleks nende kasutamine kõnealustes konkreetsetes valdkondades sõnaselgelt
keelata. Kuna puuduvad empiirilised tõendid selle kohta, et kõnealuste süsteemide
liigitamine suure riskiga süsteemidena ei ole piisav põhiõiguste kaitseks, ei näe
komisjon otsest vajadust tehisintellektimääruse artiklit 5 selles küsimuses muuta. Siiski
märgitakse see valdkond täiendavat kaalumist vajavaks valdkonnaks.
• Mitu sidusrühma tõstatas küsimuse, kuidas liigitada petuelemente ja
sõltuvusttekitavat disaini võimaldavaid tehisintellektisüsteeme. Komisjoni
praeguse hinnangu kohaselt on selliste kasutusviiside kõige ohtlikumad juhud juba
hõlmatud kehtivate keeldudega, eeskätt tehisintellektimääruse artikli 5 punktides a ja b
loetletud keelud. Peale selle võivad kõnealused kasutusviisid kuuluda teiste ELi
õigusaktide kohaldamisalasse, näiteks ebaausate kaubandustavade direktiiv19 ja
digiteenuste määrus,20 olenemata sellest, et need põhinevad tehisintellektil.
Sellegipoolest on need kasutusviisid jätkuvalt oluline probleemne valdkond. Tähtis on
nende arengut hoolikalt jälgida, et hinnata, kas kehtivad ELi õigusaktid tagavad endiselt
piisava kaitse, eelkõige juhul, kui tehisintellektisüsteemid võimaldavad rakendada
petuelemente ja sõltuvusttekitavat disaini.
• Mitu sidusrühma juhtis tähelepanu tehisintellektisüsteemidele, mida kasutatakse
küberpettusteks ja alastipiltide ning muude pahatahtlike ja alandavate
süvavõltsingute genereerimiseks. Need kahjulikud kasutusviisid tuvastati ka
intsidentide analüüsis ning neid käsitletakse täpsemalt allpool punktis 3.3.3.
17 Näiteks soovitused keelata rände haldamisel kasutatavad tehisintellektisüsteemid, tarbijatele suunatud
tehisintellektirakendustes kasutatavad häälekloonid või poliitiliste sõnumite levitamiseks kasutatavad
tehisintellekti genereeritud isikud. 18 V.a juhul, kui tehisintellektisüsteemi kavatsetakse kasutusele võtta või turule viia meditsiinilistel või ohutusega
seotud põhjustel. 19 Euroopa Parlamendi ja nõukogu 11. mai 2005. aasta direktiiv 2005/29/EÜ, mis käsitleb ettevõtja ja tarbija
vaheliste tehingutega seotud ebaausaid kaubandustavasid siseturul ning millega muudetakse nõukogu direktiivi
84/450/EMÜ, Euroopa Parlamendi ja nõukogu direktiive 97/7/EÜ, 98/27/EÜ ja 2002/65/EÜ ning Euroopa
Parlamendi ja nõukogu määrust (EÜ) nr 2006/2004 (ebaausate kaubandustavade direktiiv). ELT L 149, 11.6.2005,
lk 22–39. 20 Euroopa Parlamendi ja nõukogu 19. oktoobri 2022. aasta määrus (EL) 2022/2065, mis käsitleb digiteenuste
ühtset turgu ja millega muudetakse direktiivi 2000/31/EÜ (digiteenuste määrus). ELT L 277, 27.10.2022, lk 1–
102.
12
3.2.2. Sidusrühmade arvamused vajaduse kohta muuta kasutusjuhtumeid
tehisintellektimääruse III lisas
(44) Kui märkimisväärne arv sidusrühmi pidas tehisintellektimääruse III lisas esitatud
kehtivat suure riskiga kasutusjuhtumite loetelu piisavaks,21 siis teised soovitasid lisada
valdkondade rubriikidesse uusi kasutusjuhtumeid ja laiendada olemasolevaid
kasutusjuhtumeid või olid uute valdkondade rubriikide lisamise vajaduse suhtes kahtleval
seisukohal22. Enamik sidusrühmadest ei pooldanud ühegi olemasoleva kasutusjuhtumi
väljajätmist III lisast.
(45) Märkimisväärne arv soovitusi olid komisjoni arvates sellised, mis on juba piisaval
määral täidetud tehisintellektimääruse kehtivate põhimõtetega23. Ülejäänud soovitusi
seoses uute kasutusjuhtumite ja valdkonna rubriikide lisamisega hinnati vastavalt
tehisintellektimääruse artiklis 7 sätestatud kriteeriumidele (vt punkt 2.1.2 eespool).
Analüüsiti mitut soovitatud kasutusjuhtumit, kuid nende puhul leiti, et need ei tekita
tehisintellektimääruse III lisas juba loetletud kasutusjuhtumite riskiga samaväärset või
sellest suuremat riski24. Mõne sidusrühmade tõstatatud probleemi puhul hinnati, et need
juba tõenäoliselt kuuluvad suure riskiga kasutusjuhtumite loetellu tehisintellektimääruse
III lisas; nende puhul märgiti, et neid selgitatakse täpsemalt suure riskiga
tehisintellektisüsteemide liigitamist käsitlevates suunistes, mida komisjon praegu
koostab25.
(46) Alljärgnevalt loetletud probleemid, millele sidusrühmad korduvalt osutasid, on
komisjon märkinud küsimusteks, mis vajavad pidevat jälgimist ja hindamist muutuvate
tavade kontekstis.
• Märkimisväärne arv soovitusi olid seotud tehisintellektimääruse III lisa punktiga 5.
Mis puudutab punkti 5 alapunkti a, siis märkis mitu sidusrühma, et seal ei ole
sõnaselgelt mainitud tehisintellektisüsteeme, mida kasutatakse avalikus halduses
sotsiaaltoetuste ja sotsiaaleluruumide kättesaadavuse haldamiseks. Punkti 5 alapunkti b
kohta märkisid sidusrühmad, et see ei hõlma selgelt tehisintellektisüsteeme, mida
kasutatakse üürnike taustakontrolliks ja erateenuste (nt telekommunikatsiooni-,
kommunaalteenused) osutamise tingimustele vastavuse kindlakstegemiseks. Punkti 5
alapunkti c puhul väljendati kahtlust, et praegu piirdub suure riskiga kasutusjuhtum
vaid elu- ja tervisekindlustusega ning et muid olulisi kindlustusvorme (nt
liikluskindlustus, erialane vastutuskindlustus, kodukindlustus, töövõimetuskindlustus)
ei ole mainitud. Samuti soovitati laiendada punkti 5 alapunkti d ulatust, et hõlmata
21 Nii nende vastanute puhul, kes väljendasid oma vastustes seda seisukohta sõnaselgelt, kui ka nende puhul, kes
kõnealust küsimust ei kommenteerinud, loeti, et suure riskiga tehisintellektisüsteemide kasutusjuhtumite kehtivat
loetelu III lisas peetakse piisavaks. 22 Ligikaudu 20 % vastanutest. 23 Näiteks soovitused lisada suure riskiga tehisintellektisüsteemide hulka konkreetsed biomeetrilised süsteemid
(mis juba kuuluvad III lisa punkti 1 alla). 24 Näiteks tehisintellektisüsteemid, mille abil internetipõhiste teenuste osutajad tagavad teatavate
audiovisuaalmeedia üldhuviteenuste piisava nähtavuse; teatavad loomakasvatuses kasutatavad
tehisintellektisüsteemid. 25 Nt probleemid seoses tööhõive valdkonnas ja emotsioonituvastuseks kasutatavate konkreetsete
tehisintellektisüsteemidega.
13
ohutust ja õigusi puudutavaid hädaabiotsuseid (nt sundevakuatsioon, liikumisvabaduse
piirangud) mõjutavad tehisintellektisüsteemid. Kuigi paljud soovitused märgiti
küsimustena, mida täpsustatakse komisjoni avaldatavates suunistes suure riskiga
süsteemide liigitamise kohta, jälgib Euroopa tehisintellektiamet tehisintellektimääruse
III lisa punktiga 5 hõlmatud valdkonna tehisintellektisüsteemide juurutamist hoolikalt,
eeskätt juhul, kui konkreetsete tehisintellektisüsteemide puhul puudub III lisas
asjakohane suure riskiga kasutusjuhtum. Erilist tähelepanu pööratakse sellele, et
koguda empiirilisi andmeid tegeliku kahju kohta ja teha kindlaks võimalikud uued
regulatiivsed lüngad, mis põhjendaksid III lisa punktis 5 esitatud suure riskiga
kasutusjuhtumite loetelu või üldisemalt valdkonna rubriigi muutmist või täiendamist.
• Sarnaselt ühe liikmesriigi tõstatatud kahtlusega (vt eespool punkt 3.1), osutasid paljud
konsulteeritud sidusrühmad tehisintellektipõhiste kaaslaste ja vaimse tervise tuge
pakkuvate tehisintellektipõhiste juturobotite probleemile. Sidusrühmad osutasid
nendele tehisintellektisüsteemidele seoses võimaliku vajadusega muuta nii
tehisintellekti keelatud kasutusviise kui ka III lisa kohaseid kasutusjuhtumeid. Nagu on
märgitud eespool, võivad need süsteemid kuuluda tehisintellektimääruse artikli 5
punktide a ja b kohaste keeldude alla, kui need avaldavad alalävisele tajule suunatud,
manipuleerivat või petlikku mõju või kasutavad kahjulikul viisil ära haavatavusi. Kui
nende disain sisaldab emotsioonituvastuselemente, võidakse need liigitada suure
riskiga süsteemidena tehisintellektimääruse III lisa punkti 1 alapunkti c alusel. Samuti
kohaldatakse läbipaistvuskohustusi, et kasutajad oleksid teadlikud asjaolust, et nad
suhtlevad tehisintellektipõhise juturobotiga või et nende suhtes rakendatakse
emotsioonituvastus- või biomeetrilise liigitamise süsteeme. Täiendavad kaitsemeetmed
on ette nähtud digiteenuste määrusega26 ja ELi andmekaitseõigusega, kui need on
kohaldatavad27. Võttes aga arvesse tehisintellektipõhiste kaaslaste ja vaimse tervise
tuge pakkuvate tehisintellektipõhiste juturobotite üha suuremat levikut, on komisjoni
arvates siiski oluline nende arengut järgnevatel aastatel hoolikalt jälgida, et koguda
täiendavaid tõendeid ja hinnata, kas kehtiv õigusraamistik on endiselt piisav nendega
kaasnevate võimalike riskidega tegelemiseks.
• Osa sidusrühmi soovitas liigitada suure riskiga süsteemideks võlgade sissenõudmiseks
kasutatavad tehisintellektisüsteemid, arvestades, et energia- ja
26 Digiteenuste määrusega on keelatud manipuleeriv kasutajaliidese disain (petuelemendid) ning pandud väga
suurte digiplatvormide ja väga suurte internetipõhiste otsingumootorite pakkujatele kohustus teha kindlaks
sellised süsteemsed riskid, mis tulenevad nende teenuse ja sellega seonduvate süsteemide, sealhulgas
algoritmiliste süsteemide disainimisest või toimimisest, ning neid riske hinnata ja analüüsida (digiteenuste
määruse artikkel 34). Samuti peavad pakkujad kehtestama mõistlikud, proportsionaalsed ja tõhusad
riskimaandusmeetmed, sealhulgas algoritmiliste süsteemide testimine ja kohandamine (digiteenuste määruse
artikkel 35). Lisaks on digiteenuste määruses sätestatud, et alaealistele ligipääsetavate digiplatvormide pakkujad
peavad kehtestama asjakohased ja proportsionaalsed meetmed, et tagada oma teenuse puhul alaealiste eraelu
puutumatuse, ohutuse ja turvalisuse kõrge tase (digiteenuste määruse artikli 28 lõige 1). Euroopa Parlamendi ja
nõukogu 19. oktoobri 2022. aasta määrus (EL) 2022/2065, mis käsitleb digiteenuste ühtset turgu ja millega
muudetakse direktiivi 2000/31/EÜ (digiteenuste määrus). ELT L 277, 27.10.2022, lk 1–102. 27 Nt isikuandmete kaitse üldmääruse kohased andmetöötluspõhimõtted ja andmesubjektide õigused, mis
tehisintellektisüsteemiga seoses kehtivad, nt seepärast, et isikuandmeid on kasutatud kas tehisintellektisüsteemi
väljatöötamisel või sisendi või väljundina juurutamisel. Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta
määrus (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise
ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus). ELT L 119, 4.5.2016,
lk 1–88.
14
telekommunikatsiooniettevõtjad ning finantsteenuste osutajad kasutavad neid järjest
rohkem. Sellised tehisintellektisüsteemid võivad kuuluda tehisintellektimääruse
III lisa punktis 5 või 8 osutatud valdkondade rubriikide alla. Komisjon jätkab nende
süsteemide jälgimist, et teha kindlaks, kui suures ulatuses neid kasutatakse ja millised
ohte need võivad kaasa tuua, eeskätt haavatavate tarbijate puhul.
• Mitu sidusrühma leidis, et laiendada tuleks tehisintellektimääruse III lisa punkti 2
ulatust (tehisintellektisüsteemid, mida kasutatakse elutähtsa taristu osana). Nende
arvates peaks see valdkond lisaks turvakomponentidena kasutatavatele
tehisintellektisüsteemidele hõlmama suuremat hulka süsteeme, mis on keskse
tähtsusega taristu usaldusväärsuse ja talituspidevuse seisukohast Neid soovitusi
arvestades tuleb selle valdkonna tehisintellektisüsteeme täiendavalt jälgida, et hinnata
juurutamise ulatust ja kahju, mida sellised süsteemid võivad praktikas tekitada.
3.3. Empiirilised uuringud – tehisintellektiga seotud intsidentide andmebaaside ja
muude allikate analüüs
(47) Käesoleva aruande koostamiseks kasutati ja analüüsiti ka asjaomastes tehisintellektiga
seotud intsidentide andmebaasides sisalduvat teavet. Kõnealuse teabe analüüsimise
eesmärk oli kindlaks teha tehisintellektisüsteemide ohtlikud kasutusviisid ja nende
põhjustatud varasemad intsidendid, et koguda empiirilisi tõendeid tervist, ohutust ja
põhiõigusi ohustavate riskide realiseerumise kohta ning kasutada neid tõendeid
läbivaatamisega seotud hindamisel. Järgmises osas vaadeldavad empiirilised uuringud
aitavad küll kaardistada kättesaadavaid andmeid tehisintellektisüsteemide põhjustatud
kahju ja intsidentide kohta, kuid neil on omad piirangud, võttes arvesse, et analüüsitud
intsidendiandmebaasid ei sisalda täielikku ja kontrollitud teavet kõigi tehisintellekti
intsidentide kohta. Paljud intsidendid on pealegi üleilmsed ega piirdu Euroopaga ning
üksikasjalik teave intsidentide nõuetekohaseks liigitamiseks tehisintellektimääruse alusel
ei ole alati kättesaadav.
3.3.1. Andmebaasid ja ajakava
(48) Peamine andmebaas, mida käesolevas dokumentide analüüsis kasutati, oli
Majandusliku Koostöö ja Arengu Organisatsiooni (OECD) hallatav tehisintellektiga seotud
intsidentide ja ohtude seirevahend (AI Incidents and Hazards Monitor, AIM28). Tegemist
on vaba ja avatud lähtekoodiga tarkvara projektiga, mille eesmärk on registreerida
28 Kättesaadav aadressil
https://oecd.ai/en/incidents?search_terms=%5B%5D&and_condition=false&from_date=2014-01-
01&to_date=2025-05-
27&properties_config=%7B%22principles%22:%5B%5D,%22industries%22:%5B%5D,%22harm_types%22:
%5B%5D,%22harm_levels%22:%5B%5D,%22harmed_entities%22:%5B%5D%7D&only_threats=false&order
_by=date&num_results=20.
15
juhtumid, kus tehisintellektisüsteemide juurutamine on põhjustanud reaalset kahju või
ohtu. Andmebaas põhineb tehisintellektil ja kogub tehisintellektiga seotud intsidentide
kohta teavet avalikest allikatest (peamiselt meediakanalitest). Samuti kasutas komisjon
Massachusettsi Tehnoloogiainstituudi29 tehisintellektiriskide andmehoidlat (AI Risk
Repository)30 Seda andmebaasi analüüsiti peamiselt selleks, et töötada välja intsidentide
analüüsi metoodika.
(49) Kuna intsidentide andmebaasides avaldatakse üksnes teatatud juhtumite
lühikokkuvõtted, oli nendel allikatel põhinenud analüüs teataval määral piiratud.
Lühikirjeldused ei võimaldanud kõigil juhtudel täpselt hinnata intsidentide omadusi ega
neid vastavalt käesolevas aruandes (eespool punktis 2.1) kirjeldatud
metoodikaraamistikule täpselt liigitada. Nende piirangute tõttu osutatakse käesolevas
aruandes kõnealuste intsidentide osakaalule üldsõnaliselt (nt „märkimisväärne osa“ või
„väike osa“), selle asemel et esitada täpsed arvud.
(50) Selleks et intsidentide analüüsiks jääks piisavalt aega, kaasati ajavahemikul
1. jaanuarist 2024 (pärast tehisintellektimäärusega seotud läbirääkimiste lõppu) 31. maini
2025 teatatud intsidendid. Kokku teatati OECD andmebaasis AIM sellel perioodil
3 791 intsidendist.
3.3.2. Teatatud intsidentide liigitamine
(51) Analüüsi esimeses etapis liigitati kõik teatatud 3 791 intsidenti kuude kategooriasse.
Nende kategooriate hulgas olid järgmised:
1. intsidendid, mis ei kuulu tehisintellektimääruse kohaldamisalasse;
2. intsidendid, mis tõenäoliselt kuuluvad tehisintellektimääruse I lisa kohaldamisalasse;
3. intsidendid, mis tõenäoliselt kuuluvad tehisintellektimääruse artikli 50
kohaldamisalasse;
4. intsidendid, mis tekitavad hüpoteetilisi riske, kuid ei olnud aruande esitamise aja
seisuga tekitanud kahju;
5. intsidendid, mis kuuluvad (või võivad kuuluda) tehisintellektimääruse artikli 5
kohaldamisalasse, ning
6. intsidendid, mis kuuluvad (või võivad kuuluda) tehisintellektimääruse III lisa
kohaldamisalasse.
(52) Kui 1.–4. kategooria intsidentide kohta koguti andmed selleks, et tehisintellektiga
seotud intsidentide üldist konteksti paremini mõista, siis täpsemalt analüüsiti üksnes 5. ja
6. kategooria intsidente, lähtudes käesoleva aruande koostamiseks kasutatud metoodikast
ja eespool osutatud kriteeriumidest (punkt 2.1).
29 See andmehoidla koosneb kolmest osast: i) tehisintellektiriskide andmebaas; ii) tehisintellektiriskide põhjuslike
tegurite taksonoomia (kuidas, millal ja miks tehisintellektiriskid tekivad); iii) tehisintellektiriskide valdkondlik
taksonoomia (tehisintellektiriskid on jaotatud seitsmesse valdkonda (nt väärinformatsioon) ja 24 alamvaldkonda
(nt vale- või eksitav teave). 30 Kättesaadav aadressil https://airisk.mit.edu/.
16
(53) Analüüsi tulemusena selgus, et peaaegu pool kõigist asjaomasel ajavahemikul teatatud
intsidentidest ei kuulunud tehisintellektimääruse kohaldamisalasse või olid piisaval määral
hõlmatud muude ELi õigusaktidega31. Lisaks olid ligikaudu 10 % teatatud intsidentidest
sellised, mis kuuluvad tõenäoliselt tehisintellektimääruse I lisa kohaldamisalasse32 ning
mis seega eeldatavasti lahenevad siis, kui vastavaid tehisintellektimääruse õigusnorme
kohaldama hakatakse. Osa teatatud intsidentidest tundus olevat hõlmatud
tehisintellektimääruse artikliga 5033 ning seega võib samamoodi eeldada, et olukord
paraneb, kui tehisintellektimääruse vastavat osa kohaldama hakatakse. Lisaks olid
mõningad teatatud intsidendid hüpoteetilised ja seega jäeti need täiendavast analüüsist
välja, kuna selle puhul piirduti üksnes tegeliku kahjuga, mida intsident on (mõistliku
tõenäosusega) tekitanud.
(54) Ligikaudu 30 % teatatud intsidentidest olid sellised, mida oli komisjoni hinnangul
asjakohane üksikasjalikumalt analüüsida. Nendest intsidentidest ligikaudu kaks
kolmandikku kuulusid omakorda kas tehisintellektimääruse artikli 5 kohaldamisalasse või
peeti neid piisavalt oluliseks, et põhjendatult hinnata, kas need vastavad tehisintellekti
keelatud kasutusviiside loetellu lisamise kriteeriumidele (punkt 2.1.1 eespool). Ülejäänud
intsidendid – st üks kolmandik nendest intsidentidest, mille puhul peeti asjakohaseks
üksikasjalikumat analüüsi – kuulusid tõenäoliselt tehisintellektimääruse III lisas loetletud
suure riskiga valdkondade rubriikide alla34. Sellegipoolest tuli kontrollida, kas need
intsidendid kuuluvad tehisintellektimääruse III lisas praegu loetletud suure riskiga
kasutusjuhtumite alla, ning kui mitte, siis kas need vastavad III lisasse kaasamise
kriteeriumidele (eespool punktis 2.1.2 osutatud kriteeriumid).
3.3.3. Täiendavat hindamist vajanud intsidentide hindamine
(55) Analüüsi teises etapis hinnati muu hulgas seda, kas need intsidendid, mille puhul peeti
asjakohaseks üksikasjalikumat analüüsi (30 % teatatud intsidentidest), olid hõlmatud
tehisintellektimääruse artikli 5 kohaste keeldudega või III lisas loetletud
kasutusjuhtumitega. Kui see nii ei olnud, püüti järgnenud hindamisel kindlaks teha, kas
kõnealuseid sätteid võib olla vaja muuta asjaomaste kasutusjuhtumite lisamise või
väljajätmise teel.
Intsidendid, mis võivad kuuluda tehisintellekti keelatud kasutusviiside hulka
(tehisintellektimääruse artikkel 5)
31 Need intsidendid olid üldjoontes seotud küsimustega, mida käsitletakse muudes asjaomases ELi õigusaktides,
näiteks andmete privaatsuse rikkumine, mida reguleeritakse isikuandmete kaitse üldmäärusega. Peale selle olid
paljud neist intsidentidest seotud autoriõiguste vaidlustega, mida reguleeritakse selliste õigusaktidega nagu ELi
autoriõiguse normid. Samuti olid paljud intsidendid seotud valdkondadega, mis kuuluvad liikmesriikide
pädevusse, näiteks tehisintellekti kasutamine militaarrakendustes. 32 Sellised intsidendid olid peamiselt seotud meditsiiniseadmetes või isejuhtivates sõidukites kasutatava
tehisintellekti tekitatud kahjuga. 33 Need intsidendid olid seotud süvavõltsingutega, millel puudusid sobivad vesimärgid või muud
läbipaistvusmeetmed. 34 Enamikul juhtudel olid need intsidendid seotud tehisintellekti kasutamisega biomeetriliseks tuvastamiseks
õiguskaitses, piirikontrolli haldamisel, elutähtsate teenuste osutamisel, haridus- ja kutseõppeasutustes ning ka
õigusemõistmisel ja demokraatlikes protsessides.
17
(56) Mis puudutab neid intsidente, mis võivad kuuluda tehisintellektimääruse artiklis 5
sätestatud keeldude alla, siis tundus teatava osa hinnatud intsidentide puhul, et need on selle
sättega juba hõlmatud35. Mõne intsidendi puhul puudus piisav teave, et anda konkreetne
hinnang selle kohta, kas intsident on hõlmatud tehisintellektimääruse artikli 5 kohaste
keeldudega.
(57) Siiski tuvastas komisjon märkimisväärsel arvul intsidente, mille puhul leiti, et need
võivad olla seotud tehisintellektimääruse artiklis 5 loetletud keelatud kasutusviisidega või
kujutada endast sarnaseid kasutusviise, mis on eriti kahjulikud ja kuritarvituslikud ning mis
ei ole kõnealuse sättega selgelt hõlmatud. Neid intsidente hinnati eespool punktis 2.1.1
kirjeldatud kriteeriumide alusel. Selle analüüsi tulemusena tegi komisjon kindlaks
järgmised valdkonnad:
• Tehisintellektisüsteemid, mis on mõeldud või suutelised genereerima nõusolekuta
alastipilte ja selgelt seksuaalse sisuga süvavõltsinguid, millel on kujutatud päris
inimesi, sh alaealisi. Komisjon on analüüsinud, kas olemasolevad keelud
tehisintellektisüsteemidele, mis kasutavad sihipäraselt manipuleerivaid või petlikke
võtteid (tehisintellektimääruse artikli 5 lõike 1 punkt a) või kasutavad ära vanusest,
puudest või konkreetsest sotsiaal-majanduslikust olukorrast tulenevaid haavatavusi
(artikli 5 lõike 1 punkt b), mis põhjustavad olulist kahju, võiksid hõlmata
tehisintellektisüsteeme, mis toodavad laste seksuaalset väärkohtlemist kujutavat
materjali ja ühemõtteliselt seksuaalseid nõusolekuta kujutisi. Komisjon järeldab, et
need tavad ei kuulu tehisintellektimääruse artikli 5 lõike 1 punkti a ega artikli 5 lõike 1
punkti b kohaldamisalasse, kuna nendega ei manipuleerita lapsi ega ohvreid, et neid
kahjulikult kohelda.
• Tehisintellektisüsteemid, mida kasutatakse küber- ja finantspettusteks ning mis
võivad kuuluda tehisintellektimääruse artikli 5 lõike 1 punkti a või b kohaldamisalasse,
kui nende sätete kohaldamise tingimused on täidetud, sealhulgas olulise rahalise kahju
künnis. Selleks peab lisaks olemas olema usutav põhjuslik seos tehisintellektisüsteemi
kasutamise (nt süvavõltsitud sisu pereliikme kehastamiseks) ning tekkinud või
mõistliku tõenäosusega tekkiva rahalise kahju vahel. Komisjoni arvamuse kohaselt on
oluline hinnata, kuidas olulise rahalise kahju nõuet liikmesriikides edaspidi
tõlgendatakse ja kuidas see mõjutab seda, mil määral on kõnealused kahjulikud ja
petturlikud tehisintellekti kasutusviisid hõlmatud tehisintellektimääruse artikli 5
kohaste keeldudega.
III lisa kohaste suure riskiga kasutusjuhtumitega seotud intsidendid
(58) Tehisintellektimääruse III lisa kohaste suure riskiga valdkondade rubriikide alla
kuuluvate intsidentide analüüsist nähtus, et märkimisväärne osa intsidentidest on
tõenäoliselt juba hõlmatud selles lisas loetletud konkreetsete kasutusjuhtumitega36. Lisaks
35 Sellised tehisintellektimääruse artikli 5 kohaldamisalasse kuuluda võivad intsidendid olid seotud mitmesuguste
teemadega, näiteks reaalajas biomeetriline tuvastamine või emotsioonituvastus töökohal. 36 Paljud biomeetria valdkonna (III lisa punkt 1) intsidendid olid seotud turvakaamerates näotuvastuseks ja
kahtlusaluste tuvastamiseks kasutatavate tehisintellektisüsteemidega. Tööhõive valdkonnas kindlakstehtud
intsidendid olid seotud tehisintellektisüsteemidega, mida kasutatakse töölevõtmise ja töösuhte lõpetamise
protsessides, näiteks CV-de kontroll või töötajate jälgimine tööl kasutatavatel platvormidel. Mis puudutab
18
leiti mõne teatatud intsidendi hindamise tulemusena, et need ei tekita tehisintellektimääruse
III lisas juba loetletud kasutusjuhtumitega seostatava riskiga samaväärset riski37. Väiksem
osa intsidentidest olid sellised, mida ei saanud teabe puudumise tõttu täie kindlusega
liigitada.
(59) Märkimisväärne arv intsidente leiti olevat hõlmatud tehisintellektimääruse III lisas
loetletud valdkondade rubriikidega; sellegipoolest ei hõlma neis rubriikides praegu
loetletud konkreetsed kasutusjuhtumid selgelt neid intsidente. Neid intsidente hinnati
eespool punktis 2.1.2 kirjeldatud kriteeriumide alusel. Analüüsi tulemusena tehti kindlaks
järgmised valdkonnad, mis vajavad täiendavat jälgimist ja andmete kogumist.
• Märkimisväärne osa intsidentidest olid seotud poliitilise desinformatsiooni
kampaaniatega, mis temaatiliselt kuuluvad õigusemõistmise ja demokraatlike
protsesside valdkonda (III lisa punkt 8), kuid ei ole kasutusjuhtumite hulgas selgelt
loetletud. Need desinformatsioonikampaaniad olid peamiselt seotud süvavõltsitud
videote ja piltidega, mille riske maandatakse juba teataval määral tehisintellektimääruse
artikliga 50. Peale selle võivad osa neist tehisintellektisüsteemidest olla hõlmatud
tehisintellektimääruse artikli 5 lõike 1 punkti a või b kohaste keeldudega, kui kõik
nendes punktides sätestatud tingimused on täidetud. Samuti käsitletakse mõningaid
poliitilise desinformatsiooniga seotud probleeme digiteenuste määruses ning
poliitreklaami läbipaistvust ja suunamist käsitlevas määruses38. Täiendavad meetmed
ja algatused on ette nähtud hiljuti vastu võetud teatises Euroopa demokraatia kaitsekilbi
kohta39. Komisjon hindab ja täpsustab suure riskiga tehisintellektisüsteemide
liigitamise kohta avaldatavates suunistes täiendavalt, kas osa kõnealustest
tehisintellekti kasutusviisidest saaks liigitada tehisintellektisüsteemidena, mis on ette
nähtud kasutamiseks selleks, et mõjutada valimiste või rahvahääletuste tulemusi või
füüsiliste isikute hääletamiskäitumist valimistel või rahvahääletustel.
Kokkuvõte
elutähtsate teenuste kättesaadavust ja kasutamist, siis olid paljud teatatud intsidendid seotud tehisintellektipõhise
algoritmiga, mis on mõeldud pettuste tuvastamiseks majutustoetuse saajate puhul ning mis on viinud ebavajalike
uurimisteni ja õiguste rikkumiseni. Õiguskaitse valdkonna asjaomased intsidendid olid muu hulgas seotud
tehisintellekti kasutamisega selleks, et hinnata koduvägivalla ohvrite kogetavaid riske. Piirikontrollihalduse
valdkonna asjaomased intsidendid olid aga seotud rändajate jälgimise ja näotuvastusega kaamerate abil. 37 Mitme intsidendi puhul kasutati tehisintellektipõhiseid kaameraid liiklusrikkumiste tuvastamiseks või
rahvarohkuse jälgimiseks ja ohutuse tagamiseks avalikel üritustel. Sellised tehisintellekti kasutusviisid on seotud
õiguskaitsega; siiski ei tundu, et need tekitavad samaväärset või suuremat riski kui III lisa punktis 6 juba loetletud
muude suure riskiga tehisintellektisüsteemide põhjustatud kahju või negatiivse mõju risk. See on peamiselt
tingitud asjaolust, et need on tavaliselt seotud haldusrikkumistega, mille tagajärjed ei ole nii piiravad kui
kuritegudel, või et neid kasutatakse ohutuse tagamiseks, ilma et see avaldaks otsest mõju põhiõigustele. Sellele
vastavalt ei nõua kõnealused tehisintellekti kasutusviisid praeguses etapis III lisa muutmist. 38 Euroopa Parlamendi ja nõukogu 13. märtsi 2024. aasta määrus (EL) 2024/900 poliitreklaami läbipaistvuse ja
suunamise kohta. ELT L, 2024/900, 20.3.2024. 39 Ühisteatis Euroopa Parlamendile, nõukogule, Euroopa Majandus- ja Sotsiaalkomiteele ning Regioonide
Komiteele. Euroopa demokraatia kaitsekilp: tugevate ja vastupanuvõimeliste demokraatlike riikide võimestamine.
Brüssel, 12.11.2025. COM(2025) 791 final.
19
(60) Komisjon koostas käesoleva Euroopa Parlamendile ja nõukogule adresseeritud aruande
selleks, et täita talle tehisintellektimääruse artikli 112 lõikes 1 sätestatud kohustusi.
Käesolevas aruandes esitatud järeldused esitatakse nendele institutsioonidele
läbivaatamiseks.
(61) Pärast hindamist, mille käigus kohaldati tehisintellektimääruse artikli 112 lõikes 1
nõutud läbivaatamise objektiivset ja osalusel põhinevat metoodikat, märgib komisjon
võimalikku regulatiivset lünka seoses tehisintellektisüsteemidega, mis toodavad laste
seksuaalset väärkohtlemist kujutavat materjali ja nõusolekuta intiimset sisu, mis ei ole
tehisintellektimääruse artikliga 5 keelatud, ning analüüsib seda täiendavalt. Kuna
tehisintellektimääruse sätteid tehisintellekti keelatud kasutusviiside kohta hakati
kohaldama 2. veebruaril 2025, kuid täitmise tagamist käsitlevad õigusnormid ei ole veel
kohaldatavad, on eriti kahjulike ja kuritarvituslike ning ELi väärtuste ja põhiõigustega
vastuolus olevate muude tehisintellekti kasutusviiside hindamine alles algusjärgus ning
kõnealuste keeldudega seoses on vähe praktilist kogemust. Tehisintellektimääruse artikli 5
kohaldamist saab ulatuslikumalt hinnata alles siis, kui keelde on kohaldatud vähemalt aasta
aega ning ilmnema on hakanud ühised probleemid või regulatiivsed lüngad. Samuti on
suure riskiga tehisintellektisüsteeme käsitlevate õigusnormide toimimise hindamine ning
tervisele ja ohutusele või põhiõigustele suurt riski põhjustavate süsteemide kasutusega
seotud võimalike puuduste kindlakstegemine lihtsam siis, kui komisjon on avaldanud suure
riskiga tehisintellektisüsteemide liigitamist käsitlevad suunised ja omandatud on praktilist
kogemust. Lisaks toimivad vastavalt tehisintellektimäärusele loodavad
regulatiivliivakastid eeldatavasti mehhanismina, et koguda regulatiivset teavet ja tõendeid,
mis aitavad omakorda kindlaks teha võimalikud regulatiivsed lüngad ja tõlgendamisega
seotud probleemid. Võttes arvesse kogutud tõendeid ja käesolevas aruandes esitatud
hinnangut, on komisjon sellegipoolest kindlaks teinud konkreetsed
tehisintellektisüsteemid, mis vajavad jälgimist ja täiendavat analüüsi edasisel
läbivaatamisel.
(62) Tehisintellektimääruse kohaldamise üle järelevalvet tegevatel turujärelevalveasutustel
on soovitatav eelolevatel aastatel kaaluda, kas tehisintellektimääruse artiklis 5 sätestatud
keelud on piisavad, et tegeleda pahatahtlike ja konkreetsete suure väärkasutusriskiga
rakenduste probleemiga, lähtudes oma praktilistest kogemustest järelevalves ja
õigusnormide täitmise tagamisel. Kui suure riskiga tehisintellektisüsteeme käsitlevaid
õigusnorme on hakatud kohaldama ja nende täitmise tagamine on alanud, tuleks
samamoodi erilist tähelepanu pöörata tehisintellektisüsteemidele, mis võivad kuuluda
mõne III lisas loetletud valdkonna alla, kuid mida ei ole praegu kehtivas suure riskiga
kasutusjuhtumite loetelus sõnaselgelt mainitud. Kõnealune töö tagab tõenduspõhise
sisendteabe edasisteks komisjoni aruanneteks, mis võetakse vastu tehisintellektimääruse
artikli 112 lõike 1 alusel, ning aitab komisjonil hinnata, kas tehisintellektimääruse artikli 5
ja III lisa kohaldamisala on aja möödudes endiselt piisav; see omakorda sillutab teed
teadlikuks, objektiivseks ja tõenduspõhiseks läbivaatamiseks ning tehisintellektimääruse
asjaomaste sätete võimalikuks muutmiseks.
(63) Kooskõlas tehisintellektimääruse artikli 112 lõikega 1 tuleb tehisintellekti keelatud
kasutusviiside loetelu, mis on sätestatud tehisintellektimääruse artiklis 5, ning suure riskiga
süsteemide kasutusjuhtumite loetelu, mis on sätestatud III lisas, kuni artiklis 97 sätestatud
volituste delegeerimise tähtaja lõpuni igal aastal läbi vaadata. Seega korraldab komisjon
20
tehisintellektimääruse artikli 112 alusel järgmise hindamise 2026. aastal ning avaldab
hindamise lõpptulemused aruandes.
(64) Selleks et koguda enne 2026. aasta hindamist asjakohaseid andmeid järjepidevalt ja
süstemaatiliselt, kavatseb komisjon riigi ja ELi tasandil tehtavat seiretegevust
koordineerida. Sel eesmärgil teeb Euroopa tehisintellektiamet koostööd Euroopa
tehisintellekti nõukoja ja liikmesriikide pädevate asutustega ning konsulteerib vastavalt
vajadusele ka riiklike kontaktpunktide koostööraamistikega, mis on asjaomastes
valdkondades juba loodud. Erilist tähelepanu pööratakse valdkondadele, mis on käesolevas
aruandes märgitud täiendavat jälgimist ja tõendite kogumist vajavate valdkondadena.
Seejuures jälgitakse ka tehnoloogia arengut ning võimalikke olulisi muutusi
tehisintellektisüsteemide kasutamisel, nende mõju ja tekkivaid riske.
(65) Selleks et hinnata, kas kehtivate ELi õigusaktidega käsitletakse tehisintellektiga seotud
riske sobival viisil, analüüsitakse pärast tehisintellektimääruse õigusnormide täitmise
tagamise algust ja praktilise kogemuse omandamist, mil määral aitab tehisintellektimäärus
koostoimes teiste ELi raamistikega maandada riske tervisele, ohutusele ja põhiõigustele
ning kuidas tehisintellektimäärus teisi ELi raamistikke täiendab. Erilist tähelepanu
pööratakse sidususele ja praktilisele koostoimele tehisintellektimääruse ja selliste
õigusaktide vahel nagu digiteenuste määrus, andmehalduse määrus, määrus poliitreklaami
läbipaistvuse ja suunamise kohta ning ka tarbijakaitset ja kaupade vaba liikumist käsitlev
acquis. Kõnealuse analüüsi eesmärk peaks olema kindlaks teha, mil määral aitavad
horisontaalsed normid, valdkondlikud kohustused, andmehaldusmehhanismid ja
tootepõhised kaitsemeetmed üheskoos maandada asjaomaseid riske, ning seeläbi välja
selgitada, kas vaja on täiendavat regulatiivset sekkumist.