Dostawca to podmiot, na który AI Act nakłada zdecydowanie najwięcej obowiązków. 

Dostawca rozwija system AI (lub zleca rozwój systemu AI) oraz który – odpłatnie lub nieodpłatnie – pod własną nazwą lub znakiem towarowym wprowadza do obrotu lub oddaje do użytku system AI. 

Dostawca może mieć siedzibę lub znajdować się na terenie UE lub w kraju trzecim, jeśli wprowadza system AI na rynek lub oddaje go do użytku w UE, lub jeśli wyniki generowane przez system AI są wykorzystywane w UE (definicje i podział na role w AI Act znajdziesz w AI Act Weekly #3).  

Obowiązki dostawcy systemów AI wysokiego ryzyka:

  • stosowanie zasad klasyfikacji jako system wysokiego ryzyka (art. 6 AI Act) – patrz w AI Act Weekly #4 – jeśli system nie będzie systemem wysokiego ryzyka, to należy udokumentować dlaczego (np. realizuje tylko wąskie zadanie proceduralne albo poprawia czynność po człowieku), 
  • wdrożenie systemu zarządzania ryzykiem (art. 9) – ciągły, iteracyjny proces, planowany i realizowany przez cały cykl życia systemu AI, 
  • wdrożenie zasad dot. zarządzania danymi i zarządzania jakością (art. 10) – zbiory danych treningowych / walidacyjnych / testowych powinny być adekwatne, wystarczająco reprezentatywne oraz w jak największym stopniu wolne od błędów i kompletne z punktu widzenia przeznaczenia,  
  • stworzenie dokumentacji technicznej (art. 11) – aby wykazać spełnienie obowiązków dostawcy, 
  • automatycznie generowany rejestr zdarzeń (art. 12 i art. 19) – logi powinny być przechowywane przez okres stosowny ze względu na przeznaczenie systemu, nie krócej niż 6 miesięcy, 
  • zapewnienie przejrzystych informacji dla użytkowników (art. 13) – stworzenie instrukcji obsługi zawierającej m.in. informacje umożliwiające interpretację wyników systemu i ich właściwe wykorzystanie (cechy, poziom dokładności, solidności, cyberbezpieczeństwa, dające się przewidzieć okoliczności),
  • zapewnienie nadzoru człowieka (art. 14),
  • zapewnienie dokładności, solidności, cyberbezpieczeństwa (art. 15) – odporność na błędy, redundancja, ograniczenie nieuprawnionego dostępu, 
  • sporządzenie dokumentacji związanej z oceną i zarządzaniem zgodnością (art. 16)
  • wdrożenie systemu zarządzania jakością (art. 17) – systematyczne, uporządkowane, pisemne polityki obejmujące m.in. strategie zgodności regulacyjnej, techniki, procedury i systematyczne działania, które należy stosować na potrzeby projektowania oraz kontroli i weryfikacji projektu systemu AI wysokiego ryzyka,
  • prowadzenie i przechowywanie dokumentacji  (art. 18) – minimum przez 10 lat,  
  • działania naprawcze w przypadku nieprawidłowości i obowiązki informacyjne (art. 20) – natychmiastowe zapewnienie zgodności lub wycofanie z rynku i poinformowanie dystrybutorów,  
  • współpraca z właściwymi organami (art. 21) – m.in. dostęp do wszelkich informacji i dokumentów, w tym rejestru zdarzeń, 
  • wyznaczenie upoważnionego przedstawiciela na terenie UE (art. 22) – dot. podmiotów które mają siedzibę poza UE, 
  • odpowiedzialność w ramach łańcucha dostaw AI (art. 25) – obowiązki dostawcy obejmą także każdy podmiot, który:
    • we wprowadzonym już do obrotu lub oddanym do użytku systemie AI wysokiego ryzyka dokonuje istotnej zmiany w taki sposób, że pozostaje on systemem AI wysokiego ryzyka zgodnie z definicją w AI Act, 
    • umieszcza swój nazwę lub znak towarowy w systemie AI wysokiego ryzyka, który został już wprowadzony do obrotu, lub
    • zmienia przeznaczenie systemu AI tak, że staje się systemem wysokiego  ryzyka,  
  • prowadzenie oceny skutków systemów AI wysokiego ryzyka dla praw podstawowych (art. 27) – opis procesów, kategorii osób na które system może mieć wpływ, ryzyko szkody, opis środków nadzoru i środki do podjęcia gdy ryzyko się urzeczywistni, 
  • zapewnienie zgodności ze specyfikacjami wydawanymi przez Komisję Europejską (art. 41),
  • ocena zgodności (art. 43),
  • certyfikacja (art. 44),
  • deklaracja zgodności UE (art. 47) – należy sporządzić pisemną deklarację zgodności UE dla każdego systemu AI wysokiego ryzyka i przechowywać ją do dyspozycji organów krajowych przez okres min. 10 lat,  
  • oznakowanie CE (art. 48) – w interfejsie lub w przypadku produktu – na opakowaniu,
  • rejestracja podmiotu i systemu AI w bazie danych UE (art. 49 i art. 71),
  • monitorowanie po wprowadzeniu do obrotu i plan monitorowania systemów AI wysokiego ryzyka po ich wprowadzeniu do obrotu (art. 72) – w aktywny i systematyczny sposób należy zbierać, dokumentować i analizować stosowne dane dotyczące skuteczności działania systemów AI wysokiego ryzyka w całym cyklu ich życia i zgodność z AI Act, 
  • zgłaszanie poważnych incydentów (art. 73) – maksymalnie w terminie 15 dni do organów nadzoru państwa w którym nastąpił incydent (w przypadku powszechnych incydentów – w ciągu maksymalnie 2 dni, a w przypadku śmierci osoby – w ciągu 10 dni). 

Potrzebujesz wsparcia przy wdrożeniu AI Act w Twojej organizacji? Zapraszamy do kontaktu!

Aleksander Zieliński, radca prawny, manager: a.zielinski@dsk-kancelaria.pl

DSK AI Act Weekly #5