BLOG

EU AI Act Art. 22: EU-repræsentant for AI-udbydere fra tredjelande

En AI-virksomhed med hovedsæde i USA, Canada, Japan eller ethvert andet tredjeland, der ønsker at sælge eller på anden måde gøre højrisiko-AI-systemer tilgængeligt på det europæiske marked, støder hurtigt på et centralt krav i EU's forordning om kunstig intelligens (Forordning (EU) 2024/1689, herefter "EU AI Act"): udpegning af en EU-repræsentant. Artikel 22 er en forholdsvis kort bestemmelse, men dens implikationer for markedsadgang, ansvar og daglig compliance er vidtrækkende. Denne artikel gennemgår kravene systematisk — fra hvornår pligten opstår, over hvem der kan varetage rollen, til hvordan kontrakten mellem udbyder og repræsentant bør struktureres.

1. EU AI Act ekstraterritorial rækkevidde: hvornår gælder den for ikke-EU-virksomheder?

EU AI Act følger samme territoriale logik som GDPR: det afgørende er, hvor AI-systemet *anvendes*, ikke hvor udbyderen er etableret. Forordningens artikel 2, stk. 1 fastslår, at forordningen finder anvendelse på udbydere, der bringer AI-systemer i omsætning eller tager dem i brug i Unionen, uanset om disse udbydere er etableret i et EU-medlemsland eller i et tredjeland.

Det betyder i praksis:

  • Et amerikansk softwareselskab, der sælger et AI-drevet rekrutteringsværktøj til tyske virksomheder, er underlagt EU AI Act i det omfang systemet falder inden for en af de regulerede kategorier.
  • Et canadisk HR-tech-selskab, der via en europæisk distributør leverer et automatiseret præstationsvurderingssystem til franske arbejdsgivere, er ligeledes bundet af forordningens krav.
  • Et japansk selskab, der driver en cloud-baseret kreditscoringstjeneste med EU-kunder, er underlagt forordningen for de dele af tjenesten, der vedrører EU-borgere eller EU-baserede virksomheder.
  • Forordningens artikel 2 indeholder visse undtagelser, herunder for AI-systemer, der udelukkende anvendes til militære formål eller til nationale sikkerhedsformål (artikel 2, stk. 3), samt for systemer, der er udviklet og anvendt udelukkende til videnskabelig forskning og udvikling (artikel 2, stk. 6). Disse undtagelser er imidlertid snævre og vil sjældent gælde for kommercielle AI-produkter rettet mod det europæiske erhvervsliv.

    Den ekstraterritoriale rækkevidde er ikke en ny retlig konstruktion i europæisk ret, men EU AI Act går et skridt videre end GDPR ved eksplicit at kræve, at ikke-EU-udbydere udpeger en fysisk eller juridisk person i EU som repræsentant — en ordning, der minder om artikel 27 GDPR, men med væsentlige forskelle i mandatets omfang og repræsentantens ansvar.

    2. Art. 22 stk. 1: hvornår er EU-repræsentant obligatorisk?

    Artikel 22, stk. 1 i EU AI Act lyder i sin kerne: En udbyder etableret i et tredjeland skal, inden den bringer et højrisiko-AI-system i omsætning eller tager det i brug i Unionen, ved skriftlig fuldmagt udpege en fysisk eller juridisk person etableret i Unionen som sin EU-repræsentant.

    Pligten opstår altså ved opfyldelse af tre kumulative betingelser:

    1. Udbyderen er etableret i et tredjeland. En "udbyder" (provider) er i henhold til artikel 3, nr. 3, en fysisk eller juridisk person, en offentlig myndighed, et agentur eller et andet organ, der udvikler et AI-system eller en AI-model med generelt formål og bringer det i omsætning eller tager det i brug under eget navn eller varemærke, mod betaling eller vederlagsfrit. Kravet om EU-repræsentant gælder ikke for EU-baserede udbydere, der selv er etableret på EU-markedet.

    2. AI-systemet er et højrisiko-AI-system. Forordningens artikel 22 er eksplicit rettet mod højrisiko-AI-systemer som defineret i artikel 6 og oplistet i Bilag III. Bilag III er den centrale referenceliste for HR-tech og erhvervsmæssige anvendelser og omfatter bl.a. systemer til rekruttering og udvælgelse af medarbejdere, systemer til præstationsvurdering og forfremmelse, systemer til overvåg

    Klar til at komme i gang?

    PowerQuant leverer AI-inventar og gap-analyse på 5 arbejdsdage.

    Start M1 — 10.999 kr