Operator w AI Act oznacza dostawcę, producenta produktu, podmiot stosujący, upoważnionego przedstawiciela, importera lub dystrybutora. Kluczowe stają się obowiązki operatorów systemów sztucznej inteligencji, które obejmują m.in. nadzór nad funkcjonowaniem systemów, prowadzenie stosownej dokumentacji, a także reagowanie na incydenty i zagrożenia – różni się w zależności od charakteru i poziomu ryzyka związanego z danym rozwiązaniem AI. W praktyce oznacza to, że rola operatora przestaje być wyłącznie techniczna i nabiera wymiaru prawnego oraz organizacyjnego, stanowiąc kluczowy element w procesie bezpiecznego wdrażania sztucznej inteligencji. Przeczytaj poniższy artykuł i dowiedz się więcej o obowiązkach operatora systemu sztucznej inteligencji!
Obowiązki dostawców systemów AI wysokiego ryzyka
Dostawcy systemów AI wysokiego ryzyka:
- zapewniają zgodność swoich systemów AI wysokiego ryzyka z wymogami;
- podają w systemie AI wysokiego ryzyka lub – w przypadku, gdy nie jest to możliwe – na jego opakowaniu lub w dołączonej do niego dokumentacji, stosownie do przypadku, swoją nazwę, zarejestrowaną nazwę handlową lub zarejestrowany znak towarowy i adres, pod którym można się z nimi skontaktować;
- posiadają system zarządzania jakością;
- prowadzą dokumentację;
- przechowują rejestry zdarzeń generowane automatycznie przez ich systemy AI wysokiego ryzyka, gdy rejestry takie znajdują się pod ich kontrolą;
- zapewniają, aby przed wprowadzeniem do obrotu lub oddaniem do użytku system AI wysokiego ryzyka poddano odpowiedniej procedurze oceny zgodności;
- sporządzają deklarację zgodności UE;
- umieszczają oznakowanie CE w systemie AI wysokiego ryzyka lub – w przypadku, gdy nie jest to możliwe – na jego opakowaniu lub w dołączonej do niego dokumentacji, na potwierdzenie zgodności z niniejszym rozporządzfeniem;
- spełniają obowiązki rejestracyjne;
- podejmują niezbędne działania naprawcze i przekazują informacje;
- wykazują, na uzasadniony wniosek właściwego organu krajowego, zgodność systemu AI wysokiego ryzyka z wymogami;
- zapewniają, by system AI wysokiego ryzyka był zgodny z wymogami dostępności.
Dostawcy systemów AI wysokiego ryzyka wprowadzają system zarządzania jakością, który zapewnia zgodność z niniejszym rozporządzeniem. Dokumentuje się w systematyczny i uporządkowany sposób w formie pisemnych polityk, procedur i instrukcji oraz obejmuje on co najmniej następujące aspekty:
- strategię na rzecz zgodności regulacyjnej, w tym zgodności z procedurami oceny zgodności i procedurami zarządzania zmianami w systemie AI wysokiego ryzyka;
- techniki, procedury i systematyczne działania, które należy stosować na potrzeby projektowania oraz kontroli i weryfikacji projektu systemu AI wysokiego ryzyka;
- techniki, procedury i systematyczne działania, które należy stosować na potrzeby rozwoju, kontroli jakości i zapewniania jakości systemu AI wysokiego ryzyka;
- procedury badania, testowania i walidacji, które należy przeprowadzić przed przystąpieniem do rozwoju systemu AI wysokiego ryzyka, w trakcie tego rozwoju i po jego zakończeniu, oraz częstotliwość, z jaką mają być przeprowadzane;
- specyfikacje techniczne, w tym normy, które należy zastosować, oraz w przypadkach, gdy normy zharmonizowane nie są stosowane w pełni lub nie obejmują wszystkich odpowiednich wymogów, środki, które należy zastosować do zapewnienia, by system AI wysokiego ryzyka był zgodny z tymi wymogami;
- systemy i procedury zarządzania danymi, w tym dotyczące nabywania danych, zbierania danych, analizy danych, etykietowania danych, przechowywania danych, filtrowania danych, eksploracji danych, agregacji danych, zatrzymywania danych i wszelkich innych operacji dotyczących danych, które przeprowadza się przed wprowadzeniem do obrotu lub oddaniem do użytku systemów AI wysokiego ryzyka i do celu wprowadzenia ich do obrotu lub oddania ich do użytku;
- system zarządzania ryzykiem;
- ustanowienie, wdrożenie i obsługa systemu monitorowania po wprowadzeniu do obrotu;
- procedury związane ze zgłaszaniem poważnego incydentu;
- porozumiewanie się z właściwymi organami krajowymi, innymi właściwymi organami, w tym organami zapewniającymi lub wspierającymi dostęp do danych, jednostkami notyfikowanymi, innymi operatorami, klientami lub innymi zainteresowanymi stronami;
- systemy i procedury rejestrowania wszelkiej istotnej dokumentacji i wszelkich istotnych informacji;
- zarządzanie zasobami, w tym środki związane z bezpieczeństwem dostaw;
- ramy odpowiedzialności służące określeniu odpowiedzialności kierownictwa i pozostałego personelu w odniesieniu do wszystkich aspektów wymienionych wyżej.
Prowadzenie dokumentacji i rejestry
Przez okres 10 lat od dnia wprowadzenia systemu AI wysokiego ryzyka do obrotu lub oddania go do użytku dostawca przechowuje do dyspozycji właściwych organów krajowych:
- dokumentację techniczną;
- dokumentację dotyczącą systemu zarządzania jakością;
- w stosownych przypadkach – dokumentację dotyczącą zmian zatwierdzonych przez jednostki notyfikowane;
- w stosownych przypadkach – decyzje i inne dokumenty wydane przez jednostki notyfikowane;
- deklarację zgodności UE.
Dostawcy systemów AI wysokiego ryzyka przechowują generowane automatycznie przez ich systemy AI wysokiego ryzyka rejestry zdarzeń w zakresie, w jakim tego rodzaju rejestry zdarzeń znajdują się pod ich kontrolą.
Działania naprawcze i obowiązek informacyjny
Dostawcy systemów AI wysokiego ryzyka, którzy uważają lub mają powody, by uważać, że system AI wysokiego ryzyka, który wprowadzili do obrotu lub oddali do użytku, nie jest zgodny z niniejszym rozporządzeniem, natychmiast podejmują niezbędne działania naprawcze w celu, stosownie do przypadku, zapewnienia zgodności tego systemu, wycofania go z rynku, wyłączenia go lub wycofania go z użytku.
Informują oni o tym dystrybutorów danego systemu AI wysokiego ryzyka oraz, w stosownych przypadkach, odpowiednio podmioty stosujące, upoważnionego przedstawiciela i importerów.
W przypadku, gdy system AI wysokiego ryzyka stwarza ryzyko i dostawca danego systemu dowie się o tym ryzyku, dostawca ten natychmiast wyjaśnia przyczyny tego ryzyka, w stosownych przypadkach we współpracy ze zgłaszającym podmiotem stosującym, oraz informuje organy nadzoru rynku właściwe w zakresie przedmiotowych systemów AI wysokiego ryzyka, oraz, w stosownych przypadkach, jednostkę notyfikowaną, która wydała certyfikat dla danego systemu AI wysokiego ryzyka, w szczególności o charakterze danej niezgodności oraz o wszelkich podjętych działaniach naprawczych.
Upoważnieni przedstawiciele dostawców systemów AI wysokiego ryzyka
Przed udostępnieniem swoich systemów AI wysokiego ryzyka na rynku Unii dostawcy mający miejsce zamieszkania lub siedzibę w państwach trzecich ustanawiają – na podstawie pisemnego pełnomocnictwa – upoważnionego przedstawiciela mającego miejsce zamieszkania lub siedzibę w Unii.
Dostawca umożliwia swojemu upoważnionemu przedstawicielowi wykonywanie zadań powierzonych mu na mocy pełnomocnictwa udzielonego przez dostawcę.
Upoważniony przedstawiciel wykonuje zadania powierzone mu na mocy pełnomocnictwa udzielonego przez dostawcę. Upoważniony przedstawiciel przekazuje organom nadzoru rynku, na wniosek, kopię pełnomocnictwa w jednym z oficjalnych języków instytucji Unii wskazanym przez właściwy organ.
Obowiązki operatorów systemów sztucznej inteligencji – rola importera
Przed wprowadzeniem do obrotu systemu AI wysokiego ryzyka importerzy zapewniają jego zgodność z niniejszym rozporządzeniem, sprawdzając, czy:
- dostawca systemu AI wysokiego ryzyka przeprowadził odpowiednią procedurę oceny zgodności;
- dostawca sporządził dokumentację techniczną;
- system opatrzono wymaganym oznakowaniem CE oraz dołączono do niego deklarację zgodności UE oraz instrukcję obsługi;
- dostawca ustanowił upoważnionego przedstawiciela.
W przypadku, gdy system AI wysokiego ryzyka stwarza ryzyko, importer informuje o tym dostawcę systemu, upoważnionych przedstawicieli oraz organy nadzoru rynku.
Importerzy podają w systemie AI wysokiego ryzyka, na opakowaniu tego systemu lub, w stosownych przypadkach, w dołączonej do niego dokumentacji swoją nazwę, zarejestrowaną nazwę handlową lub zarejestrowany znak towarowy i adres, pod którym można się z nimi skontaktować.
Importerzy zapewniają, aby w okresie, w którym ponoszą odpowiedzialność za system AI wysokiego ryzyka, warunki jego – stosownie do przypadku – przechowywania lub transportu nie zagrażały jego zgodności z wymogami.
Przez okres 10 lat od wprowadzenia systemu AI wysokiego ryzyka do obrotu lub oddania go do użytku importerzy przechowują kopię certyfikatu wydanego przez jednostkę notyfikowaną, w stosownych przypadkach – kopię instrukcji obsługi oraz deklaracji zgodności UE.
Na uzasadniony wniosek odpowiednich właściwych organów importerzy przekazują im wszelkie niezbędne informacje i dokumentację w celu wykazania zgodności systemu AI wysokiego ryzyka z wymogami, w języku łatwo zrozumiałym dla tych organów. W tym celu importerzy zapewniają również możliwość udostępnienia tym organom dokumentacji technicznej.
Importerzy współpracują z odpowiednimi właściwymi organami w zakresie wszelkich działań, które organy te podejmują w odniesieniu do systemu AI wysokiego ryzyka wprowadzonego do obrotu przez importerów, w szczególności, aby zmniejszyć i ograniczyć stwarzane przez ten system ryzyko.
Obowiązki dystrybutorów
Przed udostępnieniem na rynku systemu AI wysokiego ryzyka dystrybutorzy sprawdzają, czy został on opatrzony wymaganym oznakowaniem zgodności CE, czy dołączono do niego kopię deklaracji zgodności UE i instrukcję obsługi oraz czy dostawca i – w stosownych przypadkach – importer tego systemu spełnili swoje obowiązki.
Przykład 1.
ABC sp. z o.o. jest dystrybutorem systemu AI o nazwie Y, który został sklasyfikowany jako wysokiego ryzyka. Spółka uzyskała informacje, że system ten nie jest zgodny z wymogami AI Act. Czy może taki system dystrybuować?
Nie, spółka nie może udostępniać na rynku tego systemu AI, dopóki nie zostanie zapewniona zgodność systemu z tymi wymogami. Ponadto, jeżeli system AI wysokiego ryzyka stwarza ryzyko w rozumieniu art. 79 ust. 1 AI Act, dystrybutor ma obowiązek poinformować o tym stosownie do przypadku dostawcę lub importera systemu.
Dystrybutorzy zapewniają, aby w okresie, w którym ponoszą odpowiedzialność za system AI wysokiego ryzyka, warunki jego przechowywania lub transportu – stosownie do przypadku – nie zagrażały zgodności systemu z wymogami.