Dostawca to podmiot, na który AI Act nakłada zdecydowanie najwięcej obowiązków.
Dostawca rozwija system AI (lub zleca rozwój systemu AI) oraz który – odpłatnie lub nieodpłatnie – pod własną nazwą lub znakiem towarowym wprowadza do obrotu lub oddaje do użytku system AI.
Dostawca może mieć siedzibę lub znajdować się na terenie UE lub w kraju trzecim, jeśli wprowadza system AI na rynek lub oddaje go do użytku w UE, lub jeśli wyniki generowane przez system AI są wykorzystywane w UE (definicje i podział na role w AI Act znajdziesz w AI Act Weekly #3).
Obowiązki dostawcy systemów AI wysokiego ryzyka:
- stosowanie zasad klasyfikacji jako system wysokiego ryzyka (art. 6 AI Act) – patrz w AI Act Weekly #4 – jeśli system nie będzie systemem wysokiego ryzyka, to należy udokumentować dlaczego (np. realizuje tylko wąskie zadanie proceduralne albo poprawia czynność po człowieku),
- wdrożenie systemu zarządzania ryzykiem (art. 9) – ciągły, iteracyjny proces, planowany i realizowany przez cały cykl życia systemu AI,
- wdrożenie zasad dot. zarządzania danymi i zarządzania jakością (art. 10) – zbiory danych treningowych / walidacyjnych / testowych powinny być adekwatne, wystarczająco reprezentatywne oraz w jak największym stopniu wolne od błędów i kompletne z punktu widzenia przeznaczenia,
- stworzenie dokumentacji technicznej (art. 11) – aby wykazać spełnienie obowiązków dostawcy,
- automatycznie generowany rejestr zdarzeń (art. 12 i art. 19) – logi powinny być przechowywane przez okres stosowny ze względu na przeznaczenie systemu, nie krócej niż 6 miesięcy,
- zapewnienie przejrzystych informacji dla użytkowników (art. 13) – stworzenie instrukcji obsługi zawierającej m.in. informacje umożliwiające interpretację wyników systemu i ich właściwe wykorzystanie (cechy, poziom dokładności, solidności, cyberbezpieczeństwa, dające się przewidzieć okoliczności),
- zapewnienie nadzoru człowieka (art. 14),
- zapewnienie dokładności, solidności, cyberbezpieczeństwa (art. 15) – odporność na błędy, redundancja, ograniczenie nieuprawnionego dostępu,
- sporządzenie dokumentacji związanej z oceną i zarządzaniem zgodnością (art. 16)
- wdrożenie systemu zarządzania jakością (art. 17) – systematyczne, uporządkowane, pisemne polityki obejmujące m.in. strategie zgodności regulacyjnej, techniki, procedury i systematyczne działania, które należy stosować na potrzeby projektowania oraz kontroli i weryfikacji projektu systemu AI wysokiego ryzyka,
- prowadzenie i przechowywanie dokumentacji (art. 18) – minimum przez 10 lat,
- działania naprawcze w przypadku nieprawidłowości i obowiązki informacyjne (art. 20) – natychmiastowe zapewnienie zgodności lub wycofanie z rynku i poinformowanie dystrybutorów,
- współpraca z właściwymi organami (art. 21) – m.in. dostęp do wszelkich informacji i dokumentów, w tym rejestru zdarzeń,
- wyznaczenie upoważnionego przedstawiciela na terenie UE (art. 22) – dot. podmiotów które mają siedzibę poza UE,
- odpowiedzialność w ramach łańcucha dostaw AI (art. 25) – obowiązki dostawcy obejmą także każdy podmiot, który:
- we wprowadzonym już do obrotu lub oddanym do użytku systemie AI wysokiego ryzyka dokonuje istotnej zmiany w taki sposób, że pozostaje on systemem AI wysokiego ryzyka zgodnie z definicją w AI Act,
- umieszcza swój nazwę lub znak towarowy w systemie AI wysokiego ryzyka, który został już wprowadzony do obrotu, lub
- zmienia przeznaczenie systemu AI tak, że staje się systemem wysokiego ryzyka,
- prowadzenie oceny skutków systemów AI wysokiego ryzyka dla praw podstawowych (art. 27) – opis procesów, kategorii osób na które system może mieć wpływ, ryzyko szkody, opis środków nadzoru i środki do podjęcia gdy ryzyko się urzeczywistni,
- zapewnienie zgodności ze specyfikacjami wydawanymi przez Komisję Europejską (art. 41),
- ocena zgodności (art. 43),
- certyfikacja (art. 44),
- deklaracja zgodności UE (art. 47) – należy sporządzić pisemną deklarację zgodności UE dla każdego systemu AI wysokiego ryzyka i przechowywać ją do dyspozycji organów krajowych przez okres min. 10 lat,
- oznakowanie CE (art. 48) – w interfejsie lub w przypadku produktu – na opakowaniu,
- rejestracja podmiotu i systemu AI w bazie danych UE (art. 49 i art. 71),
- monitorowanie po wprowadzeniu do obrotu i plan monitorowania systemów AI wysokiego ryzyka po ich wprowadzeniu do obrotu (art. 72) – w aktywny i systematyczny sposób należy zbierać, dokumentować i analizować stosowne dane dotyczące skuteczności działania systemów AI wysokiego ryzyka w całym cyklu ich życia i zgodność z AI Act,
- zgłaszanie poważnych incydentów (art. 73) – maksymalnie w terminie 15 dni do organów nadzoru państwa w którym nastąpił incydent (w przypadku powszechnych incydentów – w ciągu maksymalnie 2 dni, a w przypadku śmierci osoby – w ciągu 10 dni).
Potrzebujesz wsparcia przy wdrożeniu AI Act w Twojej organizacji? Zapraszamy do kontaktu!
Aleksander Zieliński, radca prawny, manager: a.zielinski@dsk-kancelaria.pl