Artykuł 12 — Prowadzenie rejestrów (Ustawa o AI UE)

Artykuł 12 Rozporządzenia (UE) 2024/1689 — Prowadzenie rejestrów. Tekst urzędowy, praktyczna interpretacja, kluczowe obowiązki i implikacje dla zgodności.

Podsumowanie tekstu urzędowego

Artykuł 12 Rozporządzenia (UE) 2024/1689 ustanawia obowiązkowe wymogi dotyczące prowadzenia rejestrów dla systemów AI wysokiego ryzyka. Artykuł ten mieści się w Tytule III, Rozdziale 2, który określa wymogi techniczne i wymogi w zakresie zarządzania, jakie systemy AI wysokiego ryzyka muszą spełniać przed wprowadzeniem na rynek UE lub oddaniem do użytku.

Głównym obowiązkiem jest to, że systemy AI wysokiego ryzyka muszą być projektowane i rozwijane z możliwościami rejestrowania, które umożliwiają automatyczne rejestrowanie zdarzeń — powszechnie określanych jako logi — przez cały okres eksploatacji systemu. Logi te służą podwójnemu celowi: wspierają monitorowanie po wprowadzeniu na rynek przez dostawcę zgodnie z Artykułem 72 oraz umożliwiają krajowym właściwym organom wykonywanie ich funkcji nadzorczych i dochodzeniowych.

Artykuł 12(2) precyzuje, że możliwości rejestrowania muszą rejestrować co najmniej: okres każdego użycia systemu (datę i godzinę rozpoczęcia i zakończenia), referencyjną bazę danych, z którą sprawdzano dane wejściowe, tam gdzie ma to zastosowanie, dane wejściowe prowadzące do danego wyniku lub rezultatu oraz — w przypadku systemów identyfikacji biometrycznej — tożsamość osób fizycznych zaangażowanych w weryfikację wyników.

Artykuł wyraźnie nakłada obowiązek projektowania na dostawców. Rejestrowanie musi być wbudowane w system już podczas jego budowy, a nie dodawane retrospektywnie. Odzwierciedla to szerszą filozofię projektowania uwzględniającego wymogi ochrony danych (privacy by design) zawartą w Rozporządzeniu. Podmioty stosujące te systemy ponoszą uzupełniające obowiązki wynikające z Artykułu 26 dotyczące zachowania logów generowanych podczas korzystania z systemu, w zakresie, w jakim takie logi podlegają ich kontroli.

Co to oznacza w praktyce

Dla dostawców rozwijających lub wprowadzających na rynek UE systemy AI wysokiego ryzyka, Artykuł 12 wymaga podejmowania decyzji na poziomie inżynieryjnym podczas fazy projektowania, a nie po wdrożeniu. Rejestrowanie musi być architektoniczną cechą produktu.

Podmioty objęte obowiązkiem. Każda organizacja, która rozwija, wprowadza na rynek lub oddaje do użytku system AI wysokiego ryzyka zgodnie z definicją zawartą w Artykule 6 i Załączniku III, podlega Artykułowi 12. Dotyczy to systemów stosowanych w rekrutacji pracowników, scoringu kredytowym, identyfikacji biometrycznej, zarządzaniu infrastrukturą krytyczną, ocenie edukacyjnej, egzekwowaniu prawa, kontroli granicznej i wymiarze sprawiedliwości, między innymi. Podmioty stosujące — organizacje wdrażające system AI wysokiego ryzyka dostawcy we własnym kontekście — mają dodatkowe obowiązki w zakresie przechowywania logów, które kontrolują.

Konkretne wymagane działania. Dostawca musi wdrożyć automatyczne rejestrowanie, które przechwytuje wymagane punkty danych bez ręcznej interwencji. Na przykład dostawca narzędzia do selekcji CV wspomaganej przez AI musi zapewnić, że system rejestruje każdą sesję rekrutacyjną, wersję zestawu danych użytą do szkolenia lub kalibracji modelu oraz dane wejściowe (profile kandydatów), które wygenerowały każdy wynik (ranking lub rekomendację). Podmiot stosujący to narzędzie musi zachować te logi i udostępniać je organom na żądanie.

Użyteczność dochodzeniowa. Logi istnieją przede wszystkim po to, aby umożliwić retrospektywną analizę. Jeśli system wytworzy dyskryminujący wynik lub spowoduje szkodę, organy regulacyjne muszą być w stanie zrekonstruować to, co się wydarzyło. Logi, które są niekompletne, nadpisane lub niedostępne, uniemożliwiają realizację tego celu i narażają zarówno dostawcę, jak i podmiot stosujący na ryzyko egzekucyjne.

Proporcjonalność. Szczegółowy zakres tego, co musi być rejestrowane, jest dostosowany do rodzaju systemu. Systemy biometryczne podlegają najbardziej szczegółowym wymogom. Dostawcy powinni dokumentować swoje decyzje projektowe dotyczące rejestrowania w dokumentacji technicznej wymaganej przez Artykuł 11.

Kluczowe obowiązki

Rejestrowanie w ramach projektowania. Systemy AI wysokiego ryzyka muszą być projektowane i rozwijane z automatycznymi możliwościami rejestrowania zdarzeń wbudowanymi w architekturę systemu przed wprowadzeniem na rynek lub wdrożeniem.
Minimalna zawartość logów. Logi muszą rejestrować co najmniej: operacyjny okres każdej sesji użytkowania, referencyjną bazę danych używaną do weryfikacji danych wejściowych, tam gdzie ma to zastosowanie, dane wejściowe, które wytworzyły każdy wynik lub decyzję, oraz — dla systemów identyfikacji biometrycznej — tożsamości osób fizycznych, które zweryfikowały wyniki.
Przechowywanie logów przez podmioty stosujące. Podmioty stosujące muszą przechowywać logi generowane podczas korzystania z systemu AI wysokiego ryzyka przez okres wymagany przez obowiązujące prawo i co najmniej przez czas niezbędny do wspierania monitorowania po wprowadzeniu na rynek i dochodzeń regulacyjnych.
Dostępność dla organów. Logi muszą być dostępne dla krajowych właściwych organów na żądanie w celu ułatwienia nadzoru, dochodzenia w sprawach incydentów i działań dotyczących nadzoru rynku.
Identyfikowalność wyników. System rejestrowania musi umożliwiać rekonstrukcję łańcucha przyczynowego od określonego wejścia do określonego wyjścia, wspierając odpowiedzialność i prawo do wyjaśnienia, tam gdzie ma to zastosowanie.
Spójność z dokumentacją techniczną. Architektura rejestrowania i jej zakres muszą być opisane w dokumentacji technicznej prowadzonej zgodnie z Artykułem 11, zapewniając spójność między systemem zaprojektowanym a systemem monitorowanym.

Związek z innymi artykułami

Artykułu 12 nie można odczytywać w oderwaniu od pozostałych przepisów. Funkcjonuje on jako część sieci powiązanych wymogów w Tytule III, Rozdziale 2.

Artykuł 9 (System zarządzania ryzykiem) ustanawia nadrzędne ramy, w których rejestrowanie odgrywa rolę zasilającą — logi generują dane operacyjne potrzebne do identyfikacji i oceny ryzyk w rzeczywistych warunkach wdrożenia.

Artykuł 11 (Dokumentacja techniczna) wymaga od dostawców dokumentowania architektury rejestrowania i jej możliwości jako części szerszego pliku technicznego składanego jednostkom notyfikowanym lub przechowywanego do celów inspekcji regulacyjnej.

Artykuł 17 (System zarządzania jakością) wymaga od dostawców utrzymywania systemu zarządzania jakością, który integruje rejestrowanie w szersze kontrole operacyjne i procedury działań naprawczych.

Artykuł 26 (Obowiązki podmiotów stosujących) nakłada na podmioty stosujące obowiązek przechowywania logów będących pod ich kontrolą oraz współpracy z dostawcami i organami, co czyni z Artykułu 12 wspólną odpowiedzialność w całym łańcuchu dostaw.

Artykuł 72 (Monitorowanie po wprowadzeniu na rynek) jest końcowym odbiorcą logów z Artykułu 12 — system monitorowania opiera się na logach operacyjnych w celu wykrywania degradacji wydajności, nieoczekiwanych wyników i pojawiających się ryzyk po wdrożeniu.

Artykuł 73 (Zgłaszanie poważnych incydentów) wykorzystuje dane z logów jako podstawowe dowody, gdy dostawcy są zobowiązani do zgłaszania poważnych awarii lub incydentów organom nadzoru rynku.

Harmonogram zgodności

Ustawa o AI UE (Rozporządzenie 2024/1689) weszła w życie 1 sierpnia 2024 r., dwadzieścia dni po publikacji w Dzienniku Urzędowym Unii Europejskiej.

Stosowanie Rozporządzenia jest etapowe:

2 lutego 2025 r. — Zakazy dotyczące praktyk AI o niedopuszczalnym ryzyku (Tytuł II, Artykuł 5) stały się stosowane.
2 sierpnia 2025 r. — Zasady dotyczące modeli AI ogólnego przeznaczenia (Tytuł VIII) i obowiązki w zakresie zarządzania (Tytuł III, Rozdział 4 dotyczący jednostek notyfikowanych; Tytuł VI dotyczący zarządzania) stały się stosowane.
2 sierpnia 2026 r. — Obowiązki dla systemów AI wysokiego ryzyka wymienionych w Załączniku III zaczynają obowiązywać dla większości kategorii. Artykuł 12 wchodzi w zakres tej fazy. Dostawcy i podmioty stosujące systemy AI wysokiego ryzyka muszą mieć zgodne możliwości rejestrowania do tej daty.
2 sierpnia 2027 r. — Przedłużony termin dla systemów AI wysokiego ryzyka objętych istniejącym sektorowym unijnym prawodawstwem harmonizacyjnym wymienionym w Załączniku I (np. maszyny, wyroby medyczne), dając tym sektorom dodatkowy czas na dostosowanie istniejących ram oceny zgodności.

Organizacje rozwijające systemy AI wysokiego ryzyka powinny traktować 2 sierpnia 2026 r. jako ostateczny termin zgodności z wymogami rejestrowania wynikającymi z Artykułu 12, przy czym projektowanie i testowanie infrastruktury rejestrowania musi zostać ukończone z wyprzedzeniem, aby umożliwić przeprowadzenie procedur oceny zgodności na podstawie Artykułu 43.

Official AI Act Compliance Deadline Calendar

Updated 2026-06-23 · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation	Applies to	Original date	New date	Status	Countdown	Legal basis
Prohibited Practices (Art. 5)	All providers and deployers	2 February 2025	2 February 2025	active	—	AI Act Art. 5
GPAI Rules (Chapter 5)	GPAI model providers	2 August 2025	2 August 2025	active	—	AI Act Art. 51-56
High-risk AI — Annex III (standalone)	Providers of standalone Annex III systems	2 August 2026	2 December 2027	deferred	—	AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded)	AI embedded in Annex I regulated products	2 August 2026	2 August 2028	deferred	—	AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking	Providers of generative GPAI systems	2 August 2025	2 August 2025	active	—	AI Act Art. 50(2)
Regulatory Sandboxes	National competent authorities	2 August 2026	2 August 2026	active	—	AI Act Art. 57

⬇ Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

Czego wymaga Artykuł 12 Ustawy o AI UE?

Artykuł 12 wymaga, aby systemy AI wysokiego ryzyka były projektowane i budowane z możliwościami umożliwiającymi automatyczne rejestrowanie zdarzeń — logów — przez cały okres ich eksploatacji. Logi te muszą umożliwiać monitorowanie po wprowadzeniu na rynek oraz ułatwiać badanie incydentów lub poważnych awarii.

Kto jest odpowiedzialny za wdrożenie prowadzenia rejestrów zgodnie z Artykułem 12?

Główny obowiązek spoczywa na dostawcach systemów AI wysokiego ryzyka. Dostawcy muszą zapewnić, że możliwość rejestrowania jest wbudowana w system już podczas jego projektowania, zanim system zostanie wprowadzony na rynek lub oddany do użytku.

Jakie zdarzenia muszą być rejestrowane zgodnie z Artykułem 12?

Logi muszą rejestrować co najmniej zdarzenia istotne dla identyfikacji ryzyk dla zdrowia, bezpieczeństwa lub praw podstawowych podczas korzystania z systemu. Obejmuje to okres każdego użycia, referencyjną bazę danych, z którą sprawdzano dane wejściowe, dane wejściowe prowadzące do danego wyniku oraz tożsamość osób fizycznych zaangażowanych w weryfikację wyników.

Jak długo należy przechowywać logi?

Rozporządzenie nie określa jednolitego uniwersalnego okresu przechowywania w samym Artykule 12, ale logi muszą być przechowywane przez okres niezbędny do wypełnienia obowiązków wynikających z Rozporządzenia, w tym monitorowania po wprowadzeniu na rynek zgodnie z Artykułem 72. Przepisy sektorowe mogą nakładać dodatkowe wymogi dotyczące przechowywania.

Czy Artykuł 12 ma zastosowanie do wszystkich systemów AI?

Nie. Artykuł 12 ma zastosowanie wyłącznie do systemów AI wysokiego ryzyka zgodnie z definicją zawartą w Artykule 6 i wymienionych w Załączniku III do Rozporządzenia (UE) 2024/1689. Systemy AI ogólnego przeznaczenia i systemy niższego ryzyka nie podlegają temu artykułowi, chyba że również kwalifikują się jako wysokiego ryzyka.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.