Článek 18 nařízení (EU) 2024/1689 — Uchovávání dokumentace. Oficiální znění, praktický výklad, klíčové povinnosti a důsledky pro zajištění souladu.
Shrnutí oficiálního znění
Článek 18 nařízení (EU) 2024/1689 stanoví povinné požadavky na uchovávání dokumentace pro poskytovatele vysoce rizikových systémů AI klasifikovaných podle přílohy III nebo vyvinutých podle ustanovení hlavy III, kapitoly 2. Článek požaduje, aby poskytovatelé uchovávali po dobu deseti let od data, kdy byl vysoce rizikový systém AI uveden na trh nebo do provozu, specifický soubor dokumentů a záznamů prokazujících soulad s nařízením.
Dokumentace, která musí být uchována, zahrnuje: technickou dokumentaci vypracovanou podle článku 11 a přílohy IV; dokumentaci systému řízení kvality požadovanou článkem 17; EU prohlášení o shodě vydané podle článku 47; případně dokumentaci a certifikáty vydané oznámenými subjekty po posouzení shody podle článku 43; a plány postmarketingového sledování a výsledná data shromážděná podle článku 72.
Je-li poskytovatel usazen mimo Evropskou unii, povinnost udržovat přístupnou dokumentaci leží společně na poskytovateli a na zplnomocněném zástupci se sídlem v EU určeném podle článku 22. Článek dále objasňuje, že pokud odvětvové právo Unie — jako je nařízení o zdravotnických prostředcích (EU) 2017/745 nebo nařízení o strojních zařízeních (EU) 2023/1230 — předepisuje delší dobu uchovávání pro rovnocenné technické záznamy, platí přísnější odvětvový požadavek, který zajišťuje soulad napříč regulatorními rámci.
Co to znamená v praxi
Pro týmy zajišťující soulad s předpisy a vlastníky produktů se článek 18 promítá do konkrétního programu správy záznamů, který musí být navržen před uvedením vysoce rizikového systému AI na trh, nikoli dodatečně upraven.
Koho se to týká. Každý právní subjekt, který se kvalifikuje jako „poskytovatel" podle článku 3 odst. 3 — typicky organizace, která vyvíjí nebo nechává vyvinout vysoce rizikový systém AI a uvádí jej na trh pod vlastním názvem nebo ochrannou známkou — nese primární povinnost. Distributoři a dovozci třetích stran nepodléhají přímo článku 18, ale mohou aktivovat rovnocenné povinnosti, pokud podstatně upraví systém podle článku 25.
Co uchovávat. Povinnost zahrnuje úplný dokumentační životní cyklus: technická dokumentace z fáze návrhu (architektura, trénovací datové sady, posouzení rizik), záznamy systému řízení kvality včetně interních auditních stop, podepsané prohlášení o shodě, veškeré certifikáty oznámených subjektů a průběžně se vyvíjející záznam postmarketingového sledování. Správa verzí je implicitně vyžadována, protože aktualizace představující podstatnou modifikaci znovu spouštějí povinnosti shody, a tím i dokumentační cyklus.
Praktické příklady. Fintech společnost nasazující model hodnocení úvěruschopnosti klasifikovaný jako vysoce rizikový musí archivovat kartu modelu, zprávy o testování zaujatosti, prohlášení o shodě a všechny protokoly o incidentech po nasazení po dobu deseti let. Výrobce zdravotnických prostředků integrující diagnostický nástroj využívající AI, který již spadá pod MDR, musí ověřit, zda se uplatní pravidlo MDR o 15leté době uchovávání; v takovém případě platí tato delší lhůta.
Provozní doporučení. Poskytovatelé by měli implementovat systém správy dokumentů (DMS) s přístupem na základě rolí, automatizovanými plány uchovávání vázanými na data uvedení na trh a auditní stopou o tom, kdo k záznamům přistoupil nebo je upravil — to vše rovněž podporuje připravenost na inspekce dozoru nad trhem podle článku 74.
Klíčové povinnosti
- Uchovávat technickou dokumentaci sestavenou podle článku 11 a přílohy IV po dobu nejméně 10 let od data uvedení na trh nebo vstupu do provozu vysoce rizikového systému AI.
- Uchovávat dokumentaci systému řízení kvality požadovanou článkem 17, včetně záznamů o interních kontrolách, výsledcích testování a nápravných opatřeních, po stejnou 10letou dobu.
- Zachovat EU prohlášení o shodě vydané podle článku 47, a pokud bylo posouzení shody provedeno oznámeným subjektem podle článku 43, všechny certifikáty a související korespondenci vydanou tímto subjektem.
- Udržovat záznamy postmarketingového sledování shromážděné podle plánu požadovaného článkem 72, včetně zpráv o incidentech a veškerých oznámení o závažných incidentech podaných podle článku 73.
- Zajistit, aby dokumentace byla uložena způsobem umožňujícím neprodlené předložení národním orgánům dozoru nad trhem na vyžádání po celou dobu uchovávání.
- Je-li určen zplnomocněný zástupce podle článku 22, musí tento zástupce mít kopii dokumentace a být oprávněn ji poskytovat příslušným orgánům jménem poskytovatele.
Vztah k ostatním článkům
Článek 18 funguje jako archivní páteř rámce pro soulad s předpisy pro vysoce rizikovou AI a nelze jej chápat izolovaně.
Je odvozen od článku 11 (technická dokumentace) a přílohy IV, které definují, co musí být vytvořeno; článek 18 pak upravuje, jak dlouho musí být uchováváno. Závisí na článku 17 (systém řízení kvality), protože záznamy systému řízení kvality, které nařizuje, musí být zachovány. Odkazuje na článek 47 (EU prohlášení o shodě) a článek 43 (posouzení shody), jejichž výstupy tvoří součást uchovávané složky.
Povinnosti po uvedení na trh podle článku 72 (plán postmarketingového sledování) a článku 73 (hlášení závažných incidentů) průběžně přispívají do archivu dokumentů po celou dobu provozního života systému. Článek 74 (dozor nad trhem) a článek 75 (přístup k datům a dokumentaci) jsou prováděcí protějšky: inspektoři vykonávající pravomoci podle těchto článků budou vyžadovat přístup přesně k záznamům, jejichž uchovávání článek 18 nařizuje.
Pro poskytovatele mimo EU musí být článek 22 o zplnomocněných zástupcích čten společně s článkem 18, aby bylo určeno, který subjekt uchovává fyzické nebo elektronické záznamy v rámci Unie.
Harmonogram souladu
Nařízení EU o umělé inteligenci vstoupilo v platnost dne 1. srpna 2024, čímž byl zahájen postupný harmonogram uplatňování.
Článek 18 spadá do hlavy III, kapitoly 3, která upravuje povinnosti poskytovatelů a provozovatelů vysoce rizikových systémů AI uvedených v příloze III. Tato ustanovení se uplatňují od 2. srpna 2026 — obecné datum uplatňování pro vysoce rizikovou AI, 24 měsíců po vstupu v platnost.
Pro vysoce rizikové systémy AI kryté odvětvovými právními předpisy uvedenými v příloze I (např. strojní zařízení, zdravotnické prostředky, civilní letectví) je lhůta prodloužena do 2. srpna 2027, 36 měsíců po vstupu v platnost, v uznání potřeby sladit s existujícími odvětvovými rámci posuzování shody.
Poskytovatelé by měli vzít na vědomí, že 10letá lhůta uchovávání začíná běžet od okamžiku, kdy je systém uveden na trh nebo do provozu — k čemuž může dojít na nebo krátce po příslušném datu uplatňování. Dokumentační povinnosti tedy fakticky začínají ke stejnému datu, kdy se povinnosti pro vysoce rizikové systémy jako celek stávají vymahatelnými. Organizace, které předpokládají uvádění systémů na trh na nebo v blízkosti data v srpnu 2026, by měly mít svou infrastrukturu správy záznamů v provozu s dostatečným předstihem, protože technická dokumentace podle článku 11 musí existovat před dokončením posouzení shody.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Poskytovatelé musí uchovávat technickou dokumentaci vypracovanou podle článku 11, EU prohlášení o shodě, dokumentaci systému řízení kvality požadovanou článkem 17, veškerá rozhodnutí a dokumenty vydané oznámenými subjekty a zprávy o postmarketingovém sledování. Tyto záznamy musí být uchovávány po dobu 10 let poté, co byl vysoce rizikový systém AI uveden na trh nebo do provozu.
Článek 18 ukládá povinnosti uchovávání dokumentace především poskytovatelům. Provozovatelé však mají samostatné povinnosti podle článku 26, včetně uchovávání protokolů automaticky generovaných vysoce rizikovými systémy AI v rozsahu, v jakém jsou tyto protokoly pod jejich kontrolou. Obě povinnosti se navzájem doplňují a měly by být posuzovány společně.
Obecná doba uchovávání je 10 let ode dne, kdy byl vysoce rizikový systém AI uveden na trh nebo do provozu. Pokud odvětvové právo Unie stanoví delší dobu uchovávání, platí přísnější odvětvový požadavek.
Dokumentace musí být uchovávána tak, aby mohla být zpřístupněna národním příslušným orgánům na vyžádání po celou dobu uchovávání. Neexistuje žádný výslovný požadavek, aby záznamy byly uchovávány v konkrétní zemi, ale poskytovatelé musí být schopni je neprodleně předložit orgánu dozoru nad trhem jakéhokoli členského státu, kde je systém nasazen.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.