21 straipsnis — Bendradarbiavimas su kompetentingomis institucijomis (ES DI įstatymas)

Reglamento (ES) 2024/1689 21 straipsnis — Bendradarbiavimas su kompetentingomis institucijomis. Oficialus tekstas, praktinis aiškinimas, pagrindiniai įpareigojimai ir atitikties pasekmės.

Oficialaus teksto santrauka

Reglamento (ES) 2024/1689 (ES DI įstatymo) 21 straipsnis nustato bendrą įpareigojimą didelės rizikos DI sistemų teikėjams bendradarbiauti su kompetentingomis nacionalinėmis institucijomis paprašius. Pagal šią nuostatą teikėjai — ir, kai taikoma, jų įgaliotieji atstovai — privalo pateikti kompetentingoms institucijoms visą informaciją ir dokumentus, reikalingus įrodyti, kad nagrinėjama didelės rizikos DI sistema atitinka III antraštinės dalies 2 skyriuje nustatytus reikalavimus. Šis bendradarbiavimo įpareigojimas apima prieigos prie pačios DI sistemos suteikimą, kai kompetentinga institucija mano, kad tokia prieiga yra būtina jos priežiūros ar rinkos stebėjimo funkcijoms vykdyti.

Straipsnis veikia platesniame Reglamento rinkos stebėjimo sistemų kontekste ir turi būti skaitomas kartu su vykdymo įgaliojimais, suteiktais nacionalinėms institucijoms pagal X antraštinę dalį. Juo nesukuriamas aktyvaus atskleidimo įpareigojimas įprastos veiklos metu; veikiau jis aktyvuojamas oficialiu ar neoficialiu priežiūros institucijos prašymu. Įpareigojimas yra besąlyginis: teikėjai negali atsisakyti bendradarbiauti dėl komercinės konfidencialumo, prekybos paslapties ar nuosavybės teisių sumetimų, nors Reglamente numatytos atskiros apsaugos priemonės, susijusios su institucijų vykdomu konfidencialios informacijos tvarkymu. 21 straipsnis veiksmingai veikia kaip tiltas tarp teikėjams nustatytų atitikties įpareigojimų ir valstybių narių bei Europos DI biuro sukurtos reguliavimo infrastruktūros vykdymo pajėgumų.

Ką tai reiškia praktiškai

Didelės rizikos DI sistemų teikėjams 21 straipsnis reikalauja, kad visada būtų palaikoma struktūruota, auditui pasirengusi atitikties pozicija — ne tik atitikties vertinimo metu. Kai nacionalinė rinkos stebėjimo institucija, pagal įgaliojimą veikianti notifikuotoji įstaiga ar Europos DI biuras pradeda tyrimą, teikėjas turi gebėti operatyviai atsakyti pateikdamas išsamią techninę dokumentaciją, atitikties vertinimo rezultatus, rizikos valdymo įrašus ir stebėjimo po pateikimo rinkai duomenis.

Kam tai taikoma. ES rinkai didelės rizikos DI sistemas (išvardytas III priede arba apimamas I priedo sektorių teisės aktų) pateikiantys teikėjai yra pagrindiniai pareigų turėtojai. Įgaliotieji atstovai, veikiantys trečiųjų šalių teikėjų vardu, turi tokį patį įpareigojimą savo įgaliojimų ribose. Diegėjai nėra pagrindiniai 21 straipsnio adresatai, tačiau gali būti įtraukti į bendradarbiavimo procedūras, kai institucijai reikia jų veiklos duomenų ar prieigos prie įdiegtos sistemos.

Konkretūs pavyzdžiai. Medicinos prietaisų gamintojas, integruojantis DI valdomą diagnostikos priemonę, paprašytas turi pateikti visą techninį failą, įskaitant mokymo duomenų aprašymus, patvirtinimo protokolus ir stebėjimo po įdiegimo žurnalus. Rekrutuotojas, diegiantis DI pagalba atrenkamosiomis CV tikrinimo priemonę, priskirtą didelės rizikos kategorijai pagal III priedą, turi palengvinti institucijos prieigą prie sistemos sprendimų logikos ir konfigūracijos parametrų, jei pradedamas tyrimas.

Veiklos parengtis. Organizacijos turėtų paskirti reguliavimo ryšių funkciją, palaikyti versijomis kontroliuojamą techninę dokumentaciją ir sukurti vidinį protokolą institucijų prašymams, įskaitant teisinio peržiūros terminus, kurie netrukdo savalaikiam bendradarbiavimui.

Pagrindiniai įpareigojimai

• Pateikti dokumentus pagal prašymą. Teikėjai privalo kompetentingoms institucijoms pateikti visą informaciją ir techninę dokumentaciją, reikalingą atitikčiai III antraštinės dalies 2 skyriui įvertinti, įskaitant 11 straipsnyje reikalaujamą techninį failą ir pagal 12 straipsnį paidomus žurnalus.
• Suteikti prieigą prie DI sistemos. Kai kompetentinga institucija nustato, kad DI sistemos patikrinimas ar sąveika su ja yra būtini, teikėjai privalo sudaryti tokią prieigą be nepagrįsto delsimo ar kliudymo.
• Bendradarbiauti per įgaliotuosius atstovus. Trečiųjų šalių teikėjai privalo užtikrinti, kad jų ES įsisteigęs įgaliotasis atstovas turėtų įgaliojimus visiškai vykdyti bendradarbiavimo įpareigojimus jų vardu, kaip reikalaujama pagal 22 straipsnį.
• Saugoti informaciją atgaminamoje formoje. Praktinis 21 straipsnio naudingumas priklauso nuo to, ar dokumentacija yra aktuali, tiksli ir prieinama. Teikėjai neturi leisti techninių įrašų pasenimui ar nepasiekiamumui gavus prašymą.
• Susilaikyti nuo kliudymo. Bet koks veiksmas ar neveikimas, kliudantis, atidedantis ar žlugdantis priežiūros tyrimą — įskaitant selektyvų atskleidimą, įrašų naikinimą ar prieigos duomenų slėpimą — laikomas 21 straipsnio pažeidimu ir gali sukelti sankcijas pagal 99 straipsnį.
• Išplėsti bendradarbiavimą iki stebėjimo po pateikimo rinkai veiklų. Bendradarbiavimas pagal 21 straipsnį nėra apribotas ikipateikimo rinkai atitikties patikrinimais; jis apima nuolatinę priežiūrinę kontrolę per visą didelės rizikos DI sistemos gyvavimo ciklą.

Ryšys su kitais straipsniais

21 straipsnis yra teikėjų įpareigojimų ir reguliavimo vykdymo sankirtoje ir negali būti skaitomas atskirai. Jis tiesiogiai priklauso nuo 11 straipsnio (techninė dokumentacija) ir 12 straipsnio (įrašų saugojimas ir registravimas), nes šios nuostatos apibrėžia informacijos, kurią teikėjas turi gebėti pateikti, korpusą. Jis siejasi su 17 straipsniu (kokybės valdymo sistema), reglamentuojančiu organizacinius procesus, kuriais grindžiamas dokumentacinis pasirengimas. 22 straipsnis (įgaliotieji atstovai) operacionalizuoja 21 straipsnį trečiųjų šalių teikėjams, nurodydamas, kas vykdo bendradarbiavimo įpareigojimus ES. Vykdymo pusėje 21 straipsnis integruojasi į X antraštinės dalies rinkos stebėjimo režimą (74–76 straipsniai), Europos DI biuro įgaliojimus pagal VIII antraštinę dalį ir 99 straipsnio sankcijų sistemą, kuri numato sankcijas už nebendradarbiavimą. 9 straipsnis (rizikos valdymas) taip pat svarbus, nes institucijos gali tikrinti, ar rizikos nustatymo ir mažinimo įrašai yra tinkami. Skaitant 21 straipsnį kartu su 13 straipsniu (skaidrumas) ir 14 straipsniu (žmogaus priežiūra) gaunamas išsamus vaizdas informacinės aplinkos, kurią teikėjai privalo palaikyti.

Atitikties tvarkaraštis

ES DI įstatymas įsigaliojo 2024 m. rugpjūčio 1 d., dvidešimt dienų po paskelbimo Europos Sąjungos oficialiajame leidinyje. Jo nuostatos taikomos etapais:

• 2025 m. vasario 2 d. — Tapo taikomi nepriimtinos rizikos DI praktikų draudimai (II antraštinė dalis). Pats 21 straipsnis didelės rizikos sistemoms dar nebuvo taikomas.
• 2025 m. rugpjūčio 2 d. — Tapo taikomos bendrosios paskirties DI modelių nuostatos (VIII antraštinė dalis) ir Europos DI biuro įpareigojimai.
• 2026 m. rugpjūčio 2 d. — 21 straipsnis kartu su visais III antraštinės dalies įpareigojimais III priede išvardytoms didelės rizikos DI sistemoms (išskyrus apimamas ankstesnės sektorinės teisės) tampa taikytinas. Teikėjai, kurių sistemos patenka į šią kategoriją, iki šios datos turi būti visiškai pasirengę bendradarbiauti.
• 2027 m. rugpjūčio 2 d. — Didelės rizikos DI sistemos, reglamentuojamos I priede išvardytais Sąjungos suderinimo teisės aktais (pvz., medicinos prietaisai, mašinos, aviacija), kurios jau yra atitikties vertinimo procedūrų objektas, turi iki šios datos, kol visi DI įstatymo didelės rizikos įpareigojimai, įskaitant 21 straipsnį, bus taikomi paveldėtiems produktams.

Teikėjai turėtų traktuoti laikotarpį iki savo taikomos datos ne kaip lengvatinį laikotarpį, o kaip įgyvendinimo laiką: techninė dokumentacija, registravimo infrastruktūra ir vidiniai bendradarbiavimo protokolai turėtų būti veikiantys gerokai prieš terminą.