Članak 18. Uredbe (EU) 2024/1689 — Čuvanje dokumentacije. Službeni tekst, praktično tumačenje, ključne obveze i implikacije za usklađenost.
Sažetak službenog teksta
Članak 18. Uredbe (EU) 2024/1689 uspostavlja obvezne zahtjeve čuvanja dokumentacije za pružatelje visokorizičnih AI sustava razvrstanih prema Prilogu III. ili razvijenih prema odredbama Glave III., Poglavlja 2. Članak zahtijeva da pružatelji čuvaju, u razdoblju od deset godina od datuma stavljanja visokorizičnog AI sustava na tržište ili puštanja u rad, određeni skup dokumenata i evidencija kojima se potvrđuje sukladnost s Uredbom.
Dokumentacija koja se mora čuvati uključuje: tehničku dokumentaciju pripremljenu prema članku 11. i Prilogu IV.; dokumentaciju sustava upravljanja kvalitetom zahtijevanu člankom 17.; EU izjavu o sukladnosti izdanu prema članku 47.; gdje je primjenjivo, dokumentaciju i certifikate koje su izdala prijavljena tijela nakon ocjenjivanja sukladnosti prema članku 43.; te planove nadzora nakon stavljanja na tržište i podatke prikupljene prema članku 72.
Kada je pružatelj osnovan izvan Europske unije, obveza održavanja dostupne dokumentacije pada zajednički na pružatelja i ovlaštenog zastupnika sa sjedištem u EU-u imenovanog prema članku 22. Članak dalje pojašnjava da kada sektorsko pravo Unije — kao što je Uredba o medicinskim proizvodima (EU) 2017/745 ili Uredba o strojevima (EU) 2023/1230 — propisuje duži rok čuvanja za istovrsne tehničke evidencije, primjenjuje se stroži sektorski zahtjev, osiguravajući dosljednost između regulatornih okvira.
Što to znači u praksi
Za timove za usklađenost i vlasnike proizvoda, članak 18. se prevodi u konkretan program upravljanja evidencijama koji mora biti osmišljen prije nego što visokorizični AI sustav dosegne tržište, a ne naknadno prilagođen.
Na koga se primjenjuje. Svaka pravna osoba koja se kvalificira kao „pružatelj" prema članku 3. stavku 3. — obično organizacija koja razvija ili je dala razviti visokorizični AI sustav i stavlja ga na tržište pod vlastitim imenom ili zaštitnim znakom — snosi primarnu obvezu. Distribucijski posrednici i uvoznici nisu izravno podložni članku 18., ali mogu pokrenuti ekvivalentne obveze ako bitno izmijene sustav prema članku 25.
Što treba čuvati. Obveza obuhvaća cjelokupni dokumentacijski životni ciklus: tehničku dokumentaciju iz faze projektiranja (arhitektura, skupovi podataka za obuku, procjena rizika), evidencije sustava upravljanja kvalitetom uključujući unutarnje revizijske tragove, potpisanu izjavu o sukladnosti, eventualne certifikate prijavljenih tijela te razvijajući evidenciju nadzora nakon stavljanja na tržište. Kontrola verzija implicitno se zahtijeva jer ažuriranja koja predstavljaju bitnu izmjenu ponovo pokreću obveze sukladnosti i time ciklus dokumentacije.
Praktični primjeri. Fintech tvrtka koja primjenjuje model kreditnog bodovanja klasificiran kao visokorizičan mora arhivirati karticu modela, izvješća o testiranju predrasuda, izjavu o sukladnosti i sve zapisnike incidenata nakon raspoređivanja deset godina. Proizvođač medicinskih proizvoda koji integrira AI-pogonjen dijagnostički alat koji već potpada pod MDR mora provjeriti primjenjuje li se MDR-ovo pravilo čuvanja od 15 godina, u kom slučaju to duže razdoblje vrijedi.
Operativna preporuka. Pružatelji bi trebali implementirati sustav upravljanja dokumentima (DMS) s pristupom temeljenim na ulogama, automatiziranim rasporedima čuvanja vezanim uz datume stavljanja na tržište i revizijskim tragom tko je pristupio ili izmijenio evidencije — što sve podržava i pripravnost za inspekcije nadzora tržišta prema članku 74.
Ključne obveze
- Čuvati tehničku dokumentaciju prikupljenu prema članku 11. i Prilogu IV. najmanje 10 godina od datuma stavljanja na tržište ili puštanja visokorizičnog AI sustava u rad.
- Čuvati dokumentaciju sustava upravljanja kvalitetom zahtijevanu člankom 17., uključujući evidencije unutarnjih kontrola, rezultate testiranja i korektivne mjere, za isto 10-godišnje razdoblje.
- Čuvati EU izjavu o sukladnosti izdanu prema članku 47. i, gdje je ocjenjivanje sukladnosti provelo prijavijeno tijelo prema članku 43., sve certifikate i odgovarajuću korespondenciju koje je to tijelo izdalo.
- Održavati evidencije nadzora nakon stavljanja na tržište prikupljene prema planu zahtijevanom člankom 72., uključujući izvješća o incidentima i bilo kakve obavijesti o ozbiljnim incidentima podnesene prema članku 73.
- Osigurati da je dokumentacija pohranjena na način koji omogućuje hitnu dostavu nacionalnim tijelima za nadzor tržišta na zahtjev tijekom cijelog roka čuvanja.
- Kada je ovlašteni zastupnik imenovan prema članku 22., taj zastupnik mora posjedovati presliku dokumentacije i biti ovlašten dostaviti je nadležnim tijelima u ime pružatelja.
Odnos s drugim člancima
Članak 18. funkcionira kao arhivski okosnica okvira sukladnosti za visokorizični AI i ne može se razumjeti izolirano.
Nizvodni je od članka 11. (tehnička dokumentacija) i Priloga IV., koji određuju što se mora izraditi; članak 18. zatim regulira koliko dugo se mora čuvati. Ovisi o članku 17. (sustav upravljanja kvalitetom) jer se evidencije SUK-a koje on nalaže moraju sačuvati. Upućuje na članak 47. (EU izjava o sukladnosti) i članak 43. (ocjenjivanje sukladnosti), čiji rezultati čine dio čuvane datoteke.
Obveze nakon stavljanja na tržište prema članku 72. (plan nadzora nakon stavljanja na tržište) i članku 73. (izvješćivanje o ozbiljnim incidentima) neprekidno se unose u arhiv dokumenata kroz operativni život sustava. Članak 74. (nadzor tržišta) i članak 75. (pristup podacima i dokumentaciji) su provedbeni pandani: inspektori koji provode ovlasti prema tim člancima zahtijevat će pristup upravo evidencijama koje članak 18. nalaže čuvati.
Za pružatelje izvan EU-a, članak 22. o ovlaštenim zastupnicima mora se čitati uz članak 18. kako bi se odredilo koji subjekt čuva fizičke ili elektroničke evidencije unutar Unije.
Vremenski okvir usklađenosti
Akt EU o AI stupio je na snagu 1. kolovoza 2024., čime je počeo postupni raspored primjene.
Članak 18. spada u Glavu III., Poglavlje 3., koje regulira obveze pružatelja i subjekata koji primjenjuju visokorizične AI sustave navedene u Prilogu III. Te se odredbe primjenjuju od 2. kolovoza 2026. — opći datum primjene za visokorizični AI, 24 mjeseca nakon stupanja na snagu.
Za visokorizične AI sustave obuhvaćene sektorskim zakonodavstvom navedenim u Prilogu I. (npr., strojevi, medicinski proizvodi, civilno zrakoplovstvo), rok se produžuje do 2. kolovoza 2027., 36 mjeseci nakon stupanja na snagu, uzimajući u obzir potrebu usklađivanja s postojećim sektorskim okvirima sukladnosti.
Pružatelji bi trebali imati na umu da sat čuvanja od 10 godina počinje teći od trenutka kada je sustav stavljen na tržište ili pušten u rad — što se može dogoditi na ili ubrzo nakon primjenjivog datuma primjene. Dokumentacijske obveze stoga de facto počinju istog datuma kada visokorizične obveze u cijelosti postanu primjenjive. Organizacije koje predviđaju stavljanje sustava na tržište na ili blizu datuma kolovoza 2026. trebale bi imati svoju infrastrukturu za upravljanje evidencijama operativnu mnogo unaprijed, budući da tehnička dokumentacija prema članku 11. mora postojati prije završetka ocjenjivanja sukladnosti.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Pružatelji moraju čuvati tehničku dokumentaciju sastavljenu prema članku 11., EU izjavu o sukladnosti, dokumentaciju sustava upravljanja kvalitetom zahtijevanu člankom 17., sve odluke i dokumente koje su izdala prijavljena tijela te izvješća o nadzoru nakon stavljanja na tržište. Ti se dokumenti moraju čuvati deset godina nakon što je visokorizični AI sustav stavljen na tržište ili pušten u rad.
Članak 18. nameće obveze čuvanja dokumentacije prvenstveno pružateljima. Međutim, subjekti koji primjenjuju sustave imaju zasebne obveze prema članku 26., uključujući čuvanje zapisnika koje automatski generiraju visokorizični AI sustavi u mjeri u kojoj su ti zapisnici pod njihovom kontrolom. Dvije su obveze komplementarne i treba ih čitati zajedno.
Opći rok čuvanja iznosi 10 godina od datuma stavljanja visokorizičnog AI sustava na tržište ili puštanja u rad. Ako sektorsko pravo Unije propisuje duži rok čuvanja, primjenjuje se stroži sektorski zahtjev.
Dokumentacija se mora čuvati na način da bude dostupna nacionalnim nadležnim tijelima na zahtjev tijekom cijelog roka čuvanja. Ne postoji izričit zahtjev da se dokumentacija čuva u određenoj zemlji, ali pružatelji moraju biti u mogućnosti dostaviti je bez odgode tijelu za nadzor tržišta bilo koje države članice u kojoj je sustav rasporeñen.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.