Άρθρο 11 Ορισμός κοινοποιημένου οργανισμού για την αξιολόγηση ορισμένων συστημάτων Τεχνητής Νοημοσύνης υψηλού κινδύνου

 

1. Η Α.Π.Δ.Π.Χ. ορίζεται, σύμφωνα με την παρ. 1 του άρθρου 43 και την παρ. 8 του άρθρου 74 του Κανονισμού για την ΤΝ, ως κοινοποιημένος οργανισμός, αρμόδιος για την αξιολόγηση της συμμόρφωσης, σύμφωνα με το Παράρτημα VII του Κανονισμού για την ΤΝ, των συστημάτων ΤΝ υψηλού κινδύνου που πρόκειται να τεθούν σε λειτουργία από αρχές που είναι αρμόδιες για την επιβολή του νόμου, τη μετανάστευση και το άσυλο.
2. Στον βαθμό που η Α.Π.Δ.Π.Χ. ενεργεί ως κοινοποιημένος οργανισμός, σύμφωνα με την παρ. 1, εξαιρείται από την υποχρέωση σύναψης σύμβασης κατάλληλης ασφάλισης αστικής ευθύνης για τις δραστηριότητες αξιολόγησης της συμμόρφωσης που ασκεί, σύμφωνα με την παρ. 9 του άρθρου 31 του Κανονισμού για την ΤΝ.

  • 6 Ιουλίου 2026, 08:35 | I Have Rights

    Ο ορισμός της ΑΠΔΠΧ ως κοινοποιημένου οργανισμού είναι θετικός, αλλά συνεπάγεται πρόσθετες αρμοδιότητες που επιβαρύνουν περαιτέρω τη λειτουργία της. Για τον λόγο αυτό, είναι αναγκαία η άμεση και ουσιαστική ενίσχυσή της με επαρκείς ανθρώπινους, οικονομικούς και υλικοτεχνικούς πόρους.

  • 5 Ιουλίου 2026, 21:40 | John Charitos

    Α. Το πρόβλημα: Δομική σύγκρουση συμφερόντων

    Το Άρθρο 11 ορίζει την ΑΠΔΠΧ ως κοινοποιημένο οργανισμό για την αξιολόγηση συμμόρφωσης συστημάτων ΤΝ υψηλού κινδύνου. Ταυτόχρονα, το Άρθρο 3 ορίζει την ίδια αρχή ως κύρια αρχή εποπτείας της αγοράς, αρμόδια για την επιβολή κυρώσεων σε περίπτωση μη συμμόρφωσης. Η συγκέντρωση και των δύο ρόλων στην ίδια αρχή δημιουργεί δομική σύγκρουση συμφερόντων: η ΑΠΔΠΧ θα κληθεί να ελέγξει τη συμμόρφωση συστημάτων τα οποία η ίδια έχει πιστοποιήσει. Αυτό αντιβαίνει στις θεμελιώδεις αρχές ανεξαρτησίας και αμεροληψίας που διέπουν τους κοινοποιημένους οργανισμούς κατά το Άρθρο 33 του EU AI Act, καθώς και στο πνεύμα του Κανονισμού (ΕΚ) 765/2008 για τη διαπίστευση.

    Αξίζει να σημειωθεί ότι στη Γερμανία, η αντίστοιχη νομοθεσία εφαρμογής διαχωρίζει ρητά τους ρόλους εποπτείας (BfDI / Bundesnetzagentur) από τους κοινοποιημένους οργανισμούς (TÜV, DEKRA), ακριβώς για την αποφυγή αυτής της σύγκρουσης. Το ίδιο ισχύει στη Γαλλία (CNIL vs. COFRAC-accredited bodies) και στη Σουηδία.

    Β. Δευτερογενές πρόβλημα: Τεχνική επάρκεια

    Η ΑΠΔΠΧ διαθέτει αδιαμφισβήτητη εξειδίκευση στην προστασία δεδομένων προσωπικού χαρακτήρα. Ωστόσο, η αξιολόγηση συστημάτων ΤΝ υψηλού κινδύνου απαιτεί διαφορετικό φάσμα τεχνικής εξειδίκευσης: αξιολόγηση αρχιτεκτονικών μηχανικής μάθησης, ανάλυση αλγοριθμικής μεροληψίας (bias), δοκιμές ευρωστίας (robustness testing), αξιολόγηση explainability και ερμηνεία μοντέλων. Η ενίσχυση που προβλέπεται μέσω κινητικότητας προσωπικού για 2 χρόνια είναι ανεπαρκής για τη δημιουργία του απαιτούμενου institutional knowledge.

    Γ. Πρακτικές συνέπειες για επιχειρήσεις

    Η παρούσα διάταξη δημιουργεί κανονιστική αβεβαιότητα για επιχειρήσεις που αναπτύσσουν high-risk AI συστήματα στην Ελλάδα. Δεν υπάρχει σαφής, αξιόπιστη διαδρομή conformity assessment, γεγονός που αποθαρρύνει επενδύσεις και καθυστερεί την ανάπτυξη καινοτόμων συστημάτων. Η προθεσμία της 2ας Αυγούστου 2026 για την εφαρμογή των κανόνων high-risk AI (Annex III) καθιστά το ζήτημα επείγον.

    Δ. Προτάσεις

    Πρώτον, να τροποποιηθεί το Άρθρο 11 ώστε ο ρόλος του κοινοποιημένου οργανισμού να ανατεθεί σε φορέα διαφορετικό από την αρχή εποπτείας της αγοράς. Ως άμεση λύση, προτείνεται η ανάθεση στο ΕΣΥΔ (Εθνικό Σύστημα Διαπίστευσης) ή σε ιδιωτικό φορέα διαπιστευμένο από το ΕΣΥΔ.

    Δεύτερον, να προβλεφθεί ρητά η αναγνώριση υφιστάμενων ευρωπαϊκών κοινοποιημένων οργανισμών (TÜV Rheinland, BSI Group, DEKRA, Bureau Veritas) για χρήση από ελληνικές επιχειρήσεις, χωρίς επιπλέον εθνικές διαδικασίες. Αυτό θα εξασφαλίσει άμεση διαθεσιμότητα αξιόπιστων υπηρεσιών αξιολόγησης.

    Τρίτον, να θεσπιστεί μεταβατική περίοδος 12 μηνών κατά την οποία οι επιχειρήσεις μπορούν να χρησιμοποιούν ευρωπαϊκούς κοινοποιημένους οργανισμούς, ενώ παράλληλα αναπτύσσεται η εθνική ικανότητα αξιολόγησης.

  • 4 Ιουλίου 2026, 10:24 | Μαραλέτος Παναγιώτης

    Η ΑΠΔΠΧ δεν πρέπει να συγκεντρώνει ταυτόχρονα ρόλο εποπτείας και αξιολόγησης συμμόρφωσης

    Το άρθρο 11 είναι από τα πιο κρίσιμα σημεία του σχεδίου νόμου, διότι προβλέπει τον ορισμό της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα ως κοινοποιημένου οργανισμού για την αξιολόγηση συμμόρφωσης συγκεκριμένων συστημάτων τεχνητής νοημοσύνης υψηλού κινδύνου.

    Η επιλογή της ΑΠΔΠΧ ως βασικού θεσμικού φορέα για ζητήματα που αφορούν την προστασία προσωπικών δεδομένων και θεμελιωδών δικαιωμάτων είναι εύλογη. Η Αρχή διαθέτει εμπειρία, θεσμικό κύρος και ανεξαρτησία σε έναν τομέα που συνδέεται άμεσα με τη χρήση συστημάτων τεχνητής νοημοσύνης.

    Ωστόσο, η τεχνητή νοημοσύνη δεν είναι μόνο ζήτημα προστασίας προσωπικών δεδομένων. Είναι και ζήτημα τεχνικής αξιοπιστίας, ασφάλειας λογισμικού, ποιότητας δεδομένων, κυβερνοασφάλειας, διαχείρισης κινδύνου, ανθρώπινης εποπτείας, λειτουργικής ασφάλειας και τομεακής εξειδίκευσης. Ιδίως στα συστήματα υψηλού κινδύνου, η αξιολόγηση συμμόρφωσης απαιτεί σύνθετη τεχνική, επιστημονική και επιχειρησιακή γνώση.

    Για τον λόγο αυτό, δημιουργείται σοβαρός προβληματισμός από την πρόβλεψη του άρθρου 11. Η ίδια αρχή δεν είναι ορθό να συγκεντρώνει ταυτόχρονα ρόλο εποπτείας της αγοράς, ρόλο ελέγχου, ρόλο επιβολής κυρώσεων και ρόλο αξιολόγησης συμμόρφωσης.

    Ο διαχωρισμός αυτών των λειτουργιών δεν είναι τυπική λεπτομέρεια. Είναι βασική εγγύηση ανεξαρτησίας, αντικειμενικότητας και αξιοπιστίας. Όταν ο ίδιος φορέας συμμετέχει στην αξιολόγηση συμμόρφωσης και στη συνέχεια μπορεί να έχει εποπτικό ή ελεγκτικό ρόλο επί του ίδιου ή παρόμοιου αντικειμένου, δημιουργείται κίνδυνος σύγχυσης αρμοδιοτήτων και θεσμικής αμφισημίας.

    Η αξιολόγηση συμμόρφωσης πρέπει να γίνεται από ανεξάρτητους, διαπιστευμένους και τεχνικά επαρκείς οργανισμούς, με σαφές πεδίο αρμοδιότητας και αυστηρούς κανόνες αποφυγής σύγκρουσης συμφερόντων. Η ΑΠΔΠΧ θα πρέπει να διατηρεί τον κρίσιμο ρόλο της ως εποπτική αρχή για τα ζητήματα προσωπικών δεδομένων, θεμελιωδών δικαιωμάτων και ελέγχου συμμόρφωσης, όχι όμως να αναλαμβάνει ταυτόχρονα και ρόλο κοινοποιημένου οργανισμού αξιολόγησης.

    Η συγκέντρωση τόσο πολλών αρμοδιοτήτων σε μία αρχή ενδέχεται να δημιουργήσει και πρακτικά προβλήματα. Η εφαρμογή του AI Act θα απαιτήσει εξειδικευμένο προσωπικό, τεχνικά εργαλεία, διαδικασίες αξιολόγησης, γνώση αλγοριθμικών συστημάτων, εμπειρία σε συστήματα υψηλού κινδύνου και δυνατότητα ελέγχου σε διαφορετικούς τομείς, όπως η υγεία, η εργασία, η εκπαίδευση, η δημόσια διοίκηση και οι χρηματοοικονομικές υπηρεσίες.

    Δεν είναι ρεαλιστικό να θεωρηθεί ότι μία αρχή, ακόμη και με το κύρος της ΑΠΔΠΧ, μπορεί να καλύψει πλήρως όλες αυτές τις ανάγκες χωρίς κίνδυνο καθυστερήσεων, υπερφόρτωσης και περιορισμένης τεχνικής επάρκειας σε επιμέρους πεδία.

    Ιδιαίτερα στον χώρο της υγείας, όπου τα συστήματα τεχνητής νοημοσύνης μπορεί να επηρεάζουν την πρόληψη, τη διάγνωση, τη θεραπεία, την παρακολούθηση ασθενών και τη λήψη κλινικών αποφάσεων, η αξιολόγηση συμμόρφωσης δεν μπορεί να γίνεται μόνο με γνώμονα την προστασία δεδομένων. Απαιτείται γνώση της ιατρικής πράξης, της ασφάλειας ασθενών, των κλινικών διαδικασιών, της φαρμακευτικής πολιτικής και της λειτουργίας των υπηρεσιών υγείας.

    Προτείνεται, επομένως, η αναδιατύπωση του άρθρου 11, ώστε η ΑΠΔΠΧ να μην ορίζεται η ίδια ως κοινοποιημένος οργανισμός αξιολόγησης συμμόρφωσης, αλλά να έχει ρόλο εποπτείας, γνωμοδότησης και ελέγχου ως προς τα ζητήματα προστασίας δεδομένων και θεμελιωδών δικαιωμάτων.

    Η αξιολόγηση συμμόρφωσης θα πρέπει να ανατίθεται σε ανεξάρτητους διαπιστευμένους οργανισμούς, οι οποίοι θα πληρούν αυστηρά κριτήρια τεχνικής επάρκειας, ανεξαρτησίας και εξειδίκευσης. Οι οργανισμοί αυτοί θα μπορούν, όπου απαιτείται, να ζητούν τη γνώμη της ΑΠΔΠΧ για θέματα προσωπικών δεδομένων και δικαιωμάτων, καθώς και τη γνώμη των αρμόδιων τομεακών αρχών για ειδικά πεδία εφαρμογής.

    Προτείνεται ειδικότερα:

    α) να διαχωριστεί σαφώς ο ρόλος εποπτείας από τον ρόλο αξιολόγησης συμμόρφωσης,
    β) να μην ανατεθεί στην ίδια αρχή ταυτόχρονα η αξιολόγηση, η εποπτεία και η επιβολή κυρώσεων,
    γ) να προβλεφθεί συμμετοχή ανεξάρτητων διαπιστευμένων οργανισμών με αποδεδειγμένη τεχνική επάρκεια,
    δ) να θεσπιστούν αυστηροί κανόνες αποφυγής σύγκρουσης συμφερόντων,
    ε) να προβλεφθεί υποχρεωτική συνδρομή τομεακών αρχών σε κρίσιμους κλάδους, όπως η υγεία, η εργασία, η εκπαίδευση και οι χρηματοοικονομικές υπηρεσίες,
    στ) να διατηρηθεί η ΑΠΔΠΧ στον ρόλο που της ταιριάζει θεσμικά: την προστασία των προσωπικών δεδομένων, των δικαιωμάτων των πολιτών και την εποπτεία της συμμόρφωσης.

    Η Ελλάδα χρειάζεται ένα αξιόπιστο και λειτουργικό σύστημα εφαρμογής του AI Act. Αυτό δεν θα επιτευχθεί με υπερσυγκέντρωση αρμοδιοτήτων σε μία αρχή, αλλά με καθαρή κατανομή ρόλων, τεχνική επάρκεια, ανεξαρτησία και συνεργασία μεταξύ των κατάλληλων φορέων.

    Για τον λόγο αυτό, το άρθρο 11 πρέπει να αναθεωρηθεί, ώστε να αποφευχθεί η σύγκρουση ρόλων και να διασφαλιστεί ότι η αξιολόγηση συμμόρφωσης των συστημάτων τεχνητής νοημοσύνης θα γίνεται με αντικειμενικότητα, τεχνική επάρκεια και θεσμική αξιοπιστία.

  • 4 Ιουλίου 2026, 09:55 | Μαραλέτος Παναγιώτης

    Αποφυγή σύγκρουσης ρόλων

    Προτείνεται η αξιολόγηση συμμόρφωσης να ασκείται από διαπιστευμένους και ανεξάρτητους οργανισμούς και όχι από τον ίδιο φορέα που ασκεί εποπτεία.

    Η διεθνής εμπειρία δείχνει ότι η διάκριση μεταξύ διαπίστευσης, αξιολόγησης και εποπτείας ενισχύει την αντικειμενικότητα και μειώνει τον κίνδυνο συγκρούσεων ρόλων.

    Η υιοθέτηση αντίστοιχης προσέγγισης στην Ελλάδα θα βελτιώσει την αξιοπιστία του συστήματος.

  • 3 Ιουλίου 2026, 21:00 | Homo Digitalis

    Δεδομένου ότι, σύμφωνα με την αιτιολογική σκέψη 139 του Κανονισμού 2024/1689, οι εθνικές αρμόδιες αρχές που συστήνουν ρυθμιστικά δοκιμαστήρια ΤΝ δύνανται να επιτρέπουν τη συμμετοχή οργανώσεων της κοινωνίας των πολιτών στο οικοσύστημα τεχνητής νοημοσύνης, θεωρούμε ιδιαίτερα σημαντικό η δυνατότητα αυτή να αξιοποιηθεί ουσιαστικά και σε εθνικό επίπεδο.

    Ειδικότερα, στο άρθρο 12 παράγραφος 4 του προτεινόμενου Σχ.Νόμου θα πρέπει να προβλεφθεί η δυνατότητα συμμετοχής φορέων της κοινωνίας των πολιτών, υπό κατάλληλο θεσμικό πλαίσιο, σε συμβουλευτικό και υποστηρικτικό ρόλο εντός συγκεκριμένων δοκιμαστηρίων που αφορούν εφαρμογές τεχνητής νοημοσύνης σε τομείς δημόσιου ενδιαφέροντος.

  • 3 Ιουλίου 2026, 21:03 | Homo Digitalis

    Ο ορισμός της ΑΠΔΠΧ ως κοινοποιημένος οργανισμός αποτελεί θετική επιλογή, αλλά θα αυξήσει ακόμη περισσότερο τον φόρτο εργασίας της, σε συνάρτηση με τις τρέχουσες υποχρεώσεις της αλλά και τις υποχρεώσεις που θα ανακύψουν και από τον ορισμό της ως αρμόδιας αρχής εποπτείας της αγοράς. Επομένως, η προσέγγιση που ακολουθεί η Ελληνική Δημοκρατία θα πρέπει να συνοδευθεί από ουσιαστική και άμεση ενίσχυσή της ΑΠΔΠΧ σε ανθρώπινους, οικονομικούς και υλικοτεχνικούς πόρους, όπως περιγράφει η Homo Digitalis και στο σχόλιο της για το Άρθρο 3 του προτεινόμενου Σχ.Νόμου.

  • 24 Ιουνίου 2026, 13:22 | Μ.Π

    Το Άρθρο 11 ορίζει την ΑΠΔΠΧ ως Κοινοποιημένο Οργανισμό (Notified Body) για αξιολόγηση συμμόρφωσης συστημάτων ΤΝ που χρησιμοποιούνται από αρχές επιβολής νόμου, μεταναστευτικές αρχές και αρχές ασύλου, βάσει του Παραρτήματος VII AI Act.
    Προφανώς τα συστήματα ΤΝ που επηρεάζουν αστυνομία, μετανάστευση και άσυλο είναι υψηλού κινδύνου για θεμελιώδη δικαιώματα. Η ΑΠΔΠΧ έχει ήδη αρμοδιότητα στα θεμελιώδη δικαιώματα και την προστασία δεδομένων. Η αξιολόγηση συμμόρφωσης αυτών των συστημάτων είναι φυσική επέκταση των αρμοδιοτήτων της.

    Σύγκρουση αρμοδιοτήτων: Η ΑΠΔΠΧ ορίζεται ταυτόχρονα ως Αρχή Εποπτείας Αγοράς (Άρθρο 3) και ως Κοινοποιημένος Οργανισμός (Άρθρο 11) για τους ίδιους τομείς. Αυτό δημιουργεί δομική σύγκρουση: η ίδια αρχή πιστοποιεί ένα σύστημα (ως Notified Body) και στη συνέχεια το εποπτεύει στην αγορά (ως MSA). Η εξαίρεση από ασφάλιση αστικής ευθύνης (παρ. 2) μάλλον έγινε επειδή άρρητα αναγνωρίζεται αυτός ο κακός σχεδιασμός αλλά δεν λύνει το πρόβλημα.

    Ο Γερμανικός νόμος KI-MIG δεν κάνει κάτι αντίστοιχο — στη Γερμανία, ο Notified Body και η αρχή εποπτείας αγοράς διαχωρίζονται. Εδώ συγχωνεύονται στην ΑΠΔΠΧ για τον πιο ευαίσθητο τομέα.