Reglamento (ES) 2024/1689 18 straipsnis — Dokumentų saugojimas. Oficialus tekstas, praktinis aiškinimas, pagrindiniai įpareigojimai ir atitikties pasekmės.
Oficialaus teksto santrauka
Reglamento (ES) 2024/1689 18 straipsnis nustato privalomus dokumentų saugojimo įpareigojimus III priede klasifikuotų arba III antraštinės dalies 2 skyriaus nuostatų pagrindu sukurtų didelės rizikos DI sistemų tiekėjams. Straipsnyje reikalaujama, kad tiekėjai dešimties metų laikotarpiu nuo didelės rizikos DI sistemos pateikimo rinkai arba pradėjimo eksploatuoti datos saugotų konkretų dokumentų ir įrašų rinkinį, pagrindžiantį atitiktį Reglamentui.
Saugotina dokumentacija apima: pagal 11 straipsnį ir IV priedą parengtą techninę dokumentaciją; 17 straipsnyje reikalaujamą kokybės valdymo sistemos dokumentaciją; pagal 47 straipsnį išduotą ES atitikties deklaraciją; kai taikytina, notifikuotųjų įstaigų išduotą dokumentaciją ir sertifikatus po atitikties vertinimų pagal 43 straipsnį; ir stebėjimo po pateikimo rinkai planus bei duomenis, surinktus pagal 72 straipsnį.
Kai tiekėjas įsisteigęs ne Europos Sąjungoje, įpareigojimas išlaikyti prieinamą dokumentaciją tenka bendrai tiekėjui ir pagal 22 straipsnį paskirtam ES įgaliotajam atstovui. Straipsnyje taip pat paaiškinama, kad kai sektoriaus Sąjungos teisė — pavyzdžiui, Medicinos prietaisų reglamentas (ES) 2017/745 arba Mašinų reglamentas (ES) 2023/1230 — nustato ilgesnį lygiavertių techninių įrašų saugojimo laikotarpį, taikomas griežtesnis sektorinis reikalavimas, užtikrinant suderinamumą skirtingose reglamentavimo sistemose.
Ką tai reiškia praktikoje
Atitikties komandoms ir produktų savininkams 18 straipsnis reiškia konkretų įrašų valdymo programą, kurią reikia parengti prieš didelės rizikos DI sistemai pasiekiant rinką, o ne pritaikyti vėliau.
Kam tai taikoma. Bet kuris juridinis subjektas, kvalifikuojamas kaip „tiekėjas" pagal 3 straipsnio 3 dalį — paprastai organizacija, kuri kuria arba užsako sukurti didelės rizikos DI sistemą ir ją pateikia rinkai savo vardu arba prekės ženklu — prisiima pagrindinį įpareigojimą. Trečiųjų šalių platintojai ir importuotojai tiesiogiai nėra 18 straipsnio subjektai, tačiau gali turėti lygiaverčių įpareigojimų, jei iš esmės modifikuoja sistemą pagal 25 straipsnį.
Ką saugoti. Įpareigojimas apima visą dokumentacijos gyvavimo ciklą: projektavimo etapo techninę dokumentaciją (architektūrą, mokymo duomenų rinkinius, rizikos vertinimą), kokybės valdymo sistemos įrašus, įskaitant vidaus audito pėdsakus, pasirašytą atitikties deklaraciją, bet kokius notifikuotosios įstaigos sertifikatus ir nuolat papildomus stebėjimo po pateikimo rinkai įrašus. Versijų kontrolė yra netiesiogiai reikalaujama, nes atnaujinimai, sudarantys esmines modifikacijas, iš naujo paleidžia atitikties įpareigojimus ir todėl dokumentacijos ciklą.
Praktiniai pavyzdžiai. Finansinių technologijų įmonė, naudojanti didelės rizikos kategorijoje priskirtą kredito vertinimo modelį, privalo dešimt metų archyvuoti modelio kortelę, šališkumo testavimo ataskaitas, atitikties deklaraciją ir visus po diegimo užfiksuotus incidentų žurnalus. Medicinos prietaisų gamintojas, integruojantis DI valdomą diagnostikos įrankį, kuris jau patenka į MDR taikymo sritį, turi patikrinti, ar taikoma MDR 15 metų saugojimo taisyklė, ir tokiu atveju tas ilgesnis laikotarpis yra lemiamas.
Operacinė rekomendacija. Tiekėjai turėtų įdiegti dokumentų valdymo sistemą (DVS) su vaidmenimis pagrįsta prieiga, automatizuotais saugojimo grafikais, sujungtais su pateikimo rinkai datomis, ir audito pėdsaku, kas pasiekė ar modifikavo įrašus — visa tai taip pat padeda pasirengti rinkos priežiūros patikrinimams pagal 74 straipsnį.
Pagrindiniai įpareigojimai
- Saugoti techninę dokumentaciją, sukauptą pagal 11 straipsnį ir IV priedą, ne mažiau kaip 10 metų nuo didelės rizikos DI sistemos pateikimo rinkai arba pradėjimo eksploatuoti datos.
- Saugoti 17 straipsnyje reikalaujamą kokybės valdymo sistemos dokumentaciją, įskaitant vidaus kontrolės, testavimo rezultatų ir korekcinių veiksmų įrašus, tokiam pat 10 metų laikotarpiui.
- Išsaugoti pagal 47 straipsnį išduotą ES atitikties deklaraciją ir, kai atitikties vertinimą atliko notifikuotoji įstaiga pagal 43 straipsnį, visus tos įstaigos išduotus sertifikatus ir susijusią korespondenciją.
- Saugoti stebėjimo po pateikimo rinkai įrašus, surinktus pagal 72 straipsnio reikalaujamą planą, įskaitant incidentų ataskaitas ir visus pagal 73 straipsnį pateiktus sunkių incidentų pranešimus.
- Užtikrinti, kad dokumentacija būtų saugoma taip, kad per visą saugojimo laikotarpį ją būtų galima skubiai pateikti nacionalinėms rinkos priežiūros institucijoms paprašius.
- Kai pagal 22 straipsnį paskiriamas įgaliotasis atstovas, tas atstovas turi turėti dokumentacijos kopiją ir turėti įgaliojimus ją pateikti kompetentingoms institucijoms tiekėjo vardu.
Ryšys su kitais straipsniais
18 straipsnis veikia kaip didelės rizikos DI atitikties sistemos archyvinis stuburas ir negali būti suprastas atskirai.
Jis yra 11 straipsnio (techninė dokumentacija) ir IV priedo, apibrėžiančių, kas turi būti sukurta, reikalavimų pasekmė; 18 straipsnis tada reglamentuoja, kiek laiko tai turi būti saugoma. Jis priklauso nuo 17 straipsnio (kokybės valdymo sistema), nes jo nustatyti KVS įrašai turi būti išsaugoti. Jis nukreipia į 47 straipsnį (ES atitikties deklaracija) ir 43 straipsnį (atitikties vertinimas), kurių rezultatai sudaro saugomo failo dalį.
Įpareigojimai po pateikimo rinkai pagal 72 straipsnį (stebėjimo po pateikimo rinkai planas) ir 73 straipsnį (pranešimas apie sunkius incidentus) nuolat papildo dokumentų archyvą per visą sistemos eksploatavimo laiką. 74 straipsnis (rinkos priežiūra) ir 75 straipsnis (prieiga prie duomenų ir dokumentacijos) yra vykdymo užtikrinimo atitikmenys: inspektoriai, naudojantys įgaliojimus pagal tuos straipsnius, reikalaus prieigos būtent prie tų įrašų, kurių saugojimą nurodo 18 straipsnis.
Tiekėjams, esantiems ne ES, 22 straipsnis dėl įgaliotųjų atstovų turi būti skaitomas kartu su 18 straipsniu, siekiant nustatyti, kuris subjektas Sąjungos viduje saugo fizinius arba elektroninius įrašus.
Atitikties tvarkaraštis
ES DI aktas įsigaliojo 2024 m. rugpjūčio 1 d., pradedant laipsnišką taikymo grafiką.
18 straipsnis patenka į III antraštinę dalį, 3 skyrių, kuris reglamentuoja III priede išvardytų didelės rizikos DI sistemų tiekėjų ir naudotojų įpareigojimus. Šios nuostatos taikomos nuo 2026 m. rugpjūčio 2 d. — bendroji didelės rizikos DI taikymo data, 24 mėnesiai po įsigaliojimo.
I priede išvardytuose sektoriaus teisės aktuose numatytoms didelės rizikos DI sistemoms (pvz., mašinoms, medicinos prietaisams, civilinei aviacijai) terminas pratęsiamas iki 2027 m. rugpjūčio 2 d., 36 mėnesius po įsigaliojimo, pripažįstant būtinybę suderinti su esamomis sektoriaus atitikties sistemomis.
Tiekėjai turėtų atkreipti dėmesį, kad 10 metų saugojimo laikrodis pradeda eiti nuo momento, kai sistema pateikiama rinkai arba pradedama eksploatuoti — tai gali įvykti taikytinos taikymo datos dieną arba netrukus po jos. Todėl dokumentacijos įpareigojimai pradeda galioti nuo tos pačios datos, kai didelės rizikos įpareigojimai apskritai tampa vykdytini. Organizacijos, planuojančios pateikti sistemas rinkai 2026 m. rugpjūčio mėnesį arba netoli tos datos, turėtų turėti savo įrašų valdymo infrastruktūrą veikiančią žymiai iš anksto, nes techninė dokumentacija pagal 11 straipsnį turi egzistuoti prieš baigiant atitikties vertinimą.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Tiekėjai privalo saugoti pagal 11 straipsnį parengtą techninę dokumentaciją, ES atitikties deklaraciją, 17 straipsnyje reikalaujamą kokybės valdymo sistemos dokumentaciją, visus notifikuotųjų įstaigų išduotus sprendimus ir dokumentus bei stebėjimo po pateikimo rinkai ataskaitas. Šie įrašai turi būti saugomi 10 metų po to, kai didelės rizikos DI sistema buvo pateikta rinkai arba pradėta eksploatuoti.
18 straipsnis dokumentų saugojimo įpareigojimus pirmiausia nustato tiekėjams. Tačiau naudotojai turi atskirus įpareigojimus pagal 26 straipsnį, įskaitant automatiškai didelių rizikos DI sistemų generuojamų žurnalų saugojimą tiek, kiek šie žurnalai yra jų kontroliuojami. Abu įpareigojimai yra papildomi ir turėtų būti skaitomi kartu.
Bendrasis saugojimo laikotarpis yra 10 metų nuo didelės rizikos DI sistemos pateikimo rinkai arba pradėjimo eksploatuoti datos. Kai sektoriaus Sąjungos teisė numato ilgesnį saugojimo laikotarpį, taikomas griežtesnis sektorinis reikalavimas.
Dokumentacija turi būti saugoma taip, kad per visą saugojimo laikotarpį ją būtų galima pateikti nacionalinėms kompetentingoms institucijoms paprašius. Nėra aiškaus reikalavimo saugoti įrašus konkrečioje šalyje, tačiau tiekėjai turi gebėti juos skubiai pateikti bet kurios valstybės narės, kurioje sistema naudojama, rinkos priežiūros institucijai.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.