Asetuksen (EU) 2024/1689 18 artikla — Asiakirjojen säilyttäminen. Virallinen teksti, käytännön tulkinta, keskeiset velvollisuudet ja vaatimustenmukaisuuden vaikutukset.
Virallisen tekstin tiivistelmä
Asetuksen (EU) 2024/1689 18 artikla vahvistaa pakollisia asiakirjojen säilyttämisvelvollisuuksia liitteen III mukaisesti luokiteltujen tai III osaston 2 luvun säännösten nojalla kehitettyjen suuren riskin tekoälyjärjestelmien tarjoajille. Artikla edellyttää, että tarjoajat säilyttävät kymmenen vuoden ajan siitä päivästä, jolloin suuren riskin tekoälyjärjestelmä saatetaan markkinoille tai otetaan käyttöön, tietyn asiakirja- ja tietojoukon, joka osoittaa asetuksen noudattamisen.
Säilytettävä dokumentaatio käsittää: 11 artiklan ja liitteen IV nojalla laaditun teknisen dokumentaation; 17 artiklan edellyttämän laadunhallintajärjestelmän dokumentaation; 47 artiklan nojalla annetun EU-vaatimustenmukaisuusvakuutuksen; tapauksen mukaan ilmoitettujen laitosten 43 artiklan mukaisten vaatimustenmukaisuusarviointien jälkeen antamat asiakirjat ja todistukset; sekä 72 artiklan nojalla kerätyt markkinoille saattamisen jälkeisen seurannan suunnitelmat ja niistä saadut tiedot.
Kun tarjoaja on sijoittautunut Euroopan unionin ulkopuolelle, velvollisuus pitää asiakirjat saatavilla kuuluu yhteisesti tarjoajalle ja 22 artiklan nojalla nimetylle EU:hun sijoittautuneelle valtuutetulle edustajalle. Artikla selventää lisäksi, että kun alakohtainen unionin lainsäädäntö — kuten lääkinnällisiä laitteita koskeva asetus (EU) 2017/745 tai koneasetus (EU) 2023/1230 — edellyttää vastaavien teknisten asiakirjojen osalta pidempiä säilytysaikoja, sovelletaan tiukempaa alakohtaista vaatimusta, mikä varmistaa johdonmukaisuuden eri sääntelykehysten välillä.
Mitä tämä tarkoittaa käytännössä
Vaatimustenmukaisuustiimeille ja tuoteomistajille 18 artikla tarkoittaa konkreettista tiedonhallintaohjelmaa, joka on suunniteltava ennen kuin suuren riskin tekoälyjärjestelmä saavuttaa markkinat, eikä sovitettava jälkeenpäin.
Keitä se koskee. Jokainen oikeushenkilö, joka täyttää 3 artiklan 3 kohdan mukaisen "tarjoajan" määritelmän — tyypillisesti organisaatio, joka kehittää tai teettää suuren riskin tekoälyjärjestelmän ja saattaa sen markkinoille omalla nimellään tai tavaramerkillään — kantaa ensisijaisen velvollisuuden. Kolmansien osapuolten jakelijat ja maahantuojat eivät ole suoraan 18 artiklan alaisia, mutta voivat käynnistää vastaavia velvollisuuksia, jos ne muuttavat järjestelmää olennaisesti 25 artiklan nojalla.
Mitä säilytetään. Velvollisuus kattaa koko asiakirjaelinkaareen: suunnitteluvaiheen tekninen dokumentaatio (arkkitehtuuri, harjoitusdatajoukot, riskiarviointi), laadunhallintajärjestelmän tiedot mukaan lukien sisäiset tarkastuslokitiedot, allekirjoitettu vaatimustenmukaisuusvakuutus, mahdolliset ilmoitettujen laitosten todistukset sekä jatkuvasti päivittyvä markkinoille saattamisen jälkeinen seurantatietoaineisto. Versionhallintaa edellytetään implisiittisesti, koska olennaiseksi muutokseksi katsottavat päivitykset käynnistävät vaatimustenmukaisuusvelvollisuudet ja siten dokumentaatiokierron uudelleen.
Käytännön esimerkit. Suuren riskin luokkaan kuuluvaa luottoluokitusmallia käyttöönottavan fintech-yrityksen on arkistoitava mallikortti, puolueellisuustestausraportit, vaatimustenmukaisuusvakuutus ja kaikki käyttöönoton jälkeiset tapahtumalokitiedot kymmenen vuoden ajan. Lääkinnällisten laitteiden valmistajan, joka integroi tekoälypohjaisen diagnostiikkatyökalun, joka jo kuuluu MDR:n soveltamisalaan, on tarkistettava, sovelletaanko MDR:n 15 vuoden säilytyssääntöä; jos näin on, kyseinen pidempi aika on ratkaiseva.
Toimenpidesuositus. Tarjoajien tulisi ottaa käyttöön roolipohjaisen pääsynhallinnan mukainen asiakirjanhallintajärjestelmä (DMS), automaattiset markkinoillesaattamispäiviin sidotut säilytysaikataulut sekä lokitieto siitä, kuka on päässyt käsiksi asiakirjoihin tai muuttanut niitä — kaikki tämä tukee myös valmiutta 74 artiklan mukaisia markkinavalvontatarkastuksia varten.
Keskeiset velvollisuudet
- Säilyttää 11 artiklan ja liitteen IV nojalla koottu tekninen dokumentaatio vähintään 10 vuoden ajan suuren riskin tekoälyjärjestelmän markkinoille saattamispäivästä tai käyttöönottopäivästä.
- Säilyttää 17 artiklan edellyttämä laadunhallintajärjestelmän dokumentaatio, mukaan lukien sisäisistä tarkastuksista, testaustuloksista ja korjaavista toimenpiteistä tehdyt tiedot, saman 10 vuoden ajan.
- Säilyttää 47 artiklan nojalla annettu EU-vaatimustenmukaisuusvakuutus ja, kun ilmoitettu laitos on suorittanut vaatimustenmukaisuusarvioinnin 43 artiklan nojalla, kaikki kyseisen laitoksen antamat todistukset ja niihin liittyvä kirjeenvaihto.
- Ylläpitää 72 artiklan edellyttämän suunnitelman nojalla kerättyä markkinoille saattamisen jälkeistä seurantatietoa, mukaan lukien tapahtumaraportit ja kaikki 73 artiklan nojalla toimitetut vakavaa tapahtumaa koskevat ilmoitukset.
- Varmistaa, että asiakirjat säilytetään tavalla, joka mahdollistaa niiden viipymättömän esittämisen kansallisille markkinavalvontaviranomaisille pyynnöstä koko säilytysajan.
- Kun valtuutettu edustaja on nimetty 22 artiklan nojalla, kyseisellä edustajalla on oltava kopio asiakirjoista ja toimivalta esittää ne toimivaltaisille viranomaisille tarjoajan puolesta.
Suhde muihin artikloihin
18 artikla toimii suuren riskin tekoälyn vaatimustenmukaisuuskehyksen arkistollisena selkärankana, eikä sitä voida ymmärtää eristyksissä.
Se on loogisesti 11 artiklan (tekninen dokumentaatio) ja liitteen IV jälkeen tuleva, sillä nämä määrittelevät, mitä on luotava; 18 artikla säätelee sitten, kuinka kauan sitä on säilytettävä. Se riippuu 17 artiklasta (laadunhallintajärjestelmä), koska sen edellyttämät laadunhallintajärjestelmän tiedot on säilytettävä. Se viittaa 47 artiklaan (EU-vaatimustenmukaisuusvakuutus) ja 43 artiklaan (vaatimustenmukaisuusarviointi), joiden tuotokset muodostavat osan säilytettävästä asiakirja-aineistosta.
72 artiklan (markkinoille saattamisen jälkeisen seurannan suunnitelma) ja 73 artiklan (vakavista tapahtumista ilmoittaminen) mukaiset markkinoille saattamisen jälkeiset velvollisuudet täydentävät asiakirja-arkistoa jatkuvasti koko järjestelmän toiminta-ajan. 74 artikla (markkinavalvonta) ja 75 artikla (pääsy tietoihin ja asiakirjoihin) ovat täytäntöönpanoa koskevat vastineet: näiden artiklojen mukaisia valtuuksia käyttävät tarkastajat vaativat pääsyä täsmälleen niihin tietoihin, joiden säilyttämistä 18 artikla edellyttää.
EU:n ulkopuolisille tarjoajille 22 artiklaa valtuutetuista edustajista on luettava yhdessä 18 artiklan kanssa, jotta voidaan määrittää, mikä yksikkö säilyttää fyysisiä tai sähköisiä asiakirjoja unionin alueella.
Vaatimustenmukaisuuden aikataulu
EU:n tekoälyasetus tuli voimaan 1. elokuuta 2024, jolloin alkoi vaiheittainen soveltamisaikataulu.
18 artikla kuuluu III osaston 3 lukuun, joka koskee liitteessä III lueteltujen suuren riskin tekoälyjärjestelmien tarjoajien ja käyttöönottajien velvollisuuksia. Näitä säännöksiä sovelletaan 2. elokuuta 2026 alkaen — suuren riskin tekoälyn yleinen soveltamispäivä, 24 kuukautta voimaantulon jälkeen.
Liitteessä I luetellun alakohtaisen lainsäädännön kattamien suuren riskin tekoälyjärjestelmien osalta (esim. koneet, lääkinnälliset laitteet, siviili-ilmailu) määräaikaa pidennetään 2. elokuuta 2027 saakka, 36 kuukautta voimaantulon jälkeen, tunnustaen tarve yhdenmukaistaa olemassa olevien alakohtaisten vaatimustenmukaisuuskehysten kanssa.
Tarjoajien on huomioitava, että 10 vuoden säilytysaika alkaa kulua siitä hetkestä, kun järjestelmä saatetaan markkinoille tai otetaan käyttöön — mikä voi tapahtua sovellettavana soveltamispäivänä tai pian sen jälkeen. Asiakirjavelvollisuudet alkavat siis tosiasiallisesti samana päivänä kuin suuren riskin velvollisuudet kokonaisuudessaan tulevat täytäntöönpanokelpoisiksi. Organisaatioiden, jotka ennakoivat saattavansa järjestelmiä markkinoille elokuussa 2026 tai sen tienoilla, tulisi saada tiedonhallintainfrastruktuurinsa toimintavalmiuteen hyvissä ajoin etukäteen, koska 11 artiklan mukaisen teknisen dokumentaation on oltava olemassa ennen kuin vaatimustenmukaisuusarviointi on saatettu päätökseen.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Tarjoajien on säilytettävä 11 artiklan nojalla laadittu tekninen dokumentaatio, EU-vaatimustenmukaisuusvakuutus, 17 artiklan edellyttämä laadunhallintajärjestelmän dokumentaatio, ilmoitettujen laitosten antamat päätökset ja asiakirjat sekä markkinoille saattamisen jälkeisen seurannan raportit. Nämä asiakirjat on säilytettävä 10 vuoden ajan siitä, kun suuren riskin tekoälyjärjestelmä on saatettu markkinoille tai otettu käyttöön.
18 artikla asettaa asiakirjojen säilyttämisvelvollisuudet ensisijaisesti tarjoajille. Käyttöönottajilla on kuitenkin erilliset velvollisuudet 26 artiklan nojalla, mukaan lukien suuren riskin tekoälyjärjestelmien automaattisesti tuottamien lokitietojen säilyttäminen siltä osin kuin kyseiset lokitiedot ovat heidän hallinnassaan. Molemmat velvollisuudet täydentävät toisiaan ja niitä tulee lukea yhdessä.
Yleinen säilytysaika on 10 vuotta siitä päivästä, jolloin suuren riskin tekoälyjärjestelmä saatetaan markkinoille tai otetaan käyttöön. Jos alakohtainen unionin lainsäädäntö edellyttää pidempiä säilytysaikoja, sovelletaan tiukempaa alakohtaista vaatimusta.
Asiakirjat on säilytettävä siten, että ne voidaan saattaa kansallisten toimivaltaisten viranomaisten saataville pyynnöstä koko säilytysajan. Ei ole nimenomaista vaatimusta, että asiakirjat on säilytettävä tietyssä maassa, mutta tarjoajien on kyettävä esittämään ne viipymättä minkä tahansa jäsenvaltion markkinavalvontaviranomaiselle, jossa järjestelmä on otettu käyttöön.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.