Artykuł 16 — Obowiązki dostawców wysokiego ryzyka systemów AI (ustawa o AI UE)

Artykuł 16 rozporządzenia (UE) 2024/1689 — Obowiązki dostawców systemów AI wysokiego ryzyka. Oficjalny tekst, praktyczna interpretacja, kluczowe obowiązki i implikacje dla zgodności.

Podsumowanie oficjalnego tekstu

Artykuł 16 rozporządzenia (UE) 2024/1689 (ustawa o AI UE) ustanawia kompleksowy zestaw obowiązków, które dostawcy systemów AI wysokiego ryzyka muszą spełnić przed wprowadzeniem swoich systemów na rynek lub oddaniem ich do użytku. Artykuł ten pełni funkcję centralnego punktu odniesienia dla obowiązków dostawców w ramach tytułu III, rozdziału 3.

Na mocy artykułu 16 dostawcy muszą zapewnić, że ich systemy AI wysokiego ryzyka spełniają wszystkie wymogi określone w rozdziale 2 tytułu III, dotyczące zarządzania ryzykiem (artykuł 9), danych i zarządzania danymi (artykuł 10), dokumentacji technicznej (artykuł 11), prowadzenia rejestrów (artykuł 12), przejrzystości i dostarczania informacji (artykuł 13), nadzoru ludzkiego (artykuł 14) oraz dokładności, odporności i cyberbezpieczeństwa (artykuł 15).

Poza przestrzeganiem rozdziału 2 artykuł 16 nakłada szczegółowe obowiązki administracyjne i proceduralne. Dostawcy muszą ustanowić system zarządzania jakością zgodnie z artykułem 17, sporządzić dokumentację techniczną określoną w załączniku IV oraz, w stosownych przypadkach, przejść procedurę oceny zgodności przed naniesieniem oznakowania CE. Muszą rejestrować swoje systemy w bazie danych UE ustanowionej na podstawie artykułu 71, jeżeli rejestracja jest obowiązkowa, współpracować z krajowymi właściwymi organami na żądanie oraz przechowywać całą odpowiednią dokumentację przez okres dziesięciu lat od wprowadzenia systemu na rynek lub oddania go do użytku. Dostawcy mający siedzibę poza UE muszą wyznaczyć upoważnionego przedstawiciela w Unii zgodnie z artykułem 22.

Co to oznacza w praktyce

Dla organizacji opracowujących lub zlecających opracowanie systemów AI wysokiego ryzyka artykuł 16 przekłada się na ustrukturyzowany program zapewnienia zgodności przed wprowadzeniem na rynek, który musi zostać ukończony przed jakimkolwiek wdrożeniem lub premierą komercyjną.

Twórcy i dostawcy budujący systemy AI, które należą do kategorii wysokiego ryzyka zdefiniowanych w załączniku III — obejmujących takie obszary jak identyfikacja biometryczna, infrastruktura krytyczna, edukacja, zatrudnienie, usługi podstawowe, egzekwowanie prawa, migracja i wymiar sprawiedliwości — powinni traktować artykuł 16 jako swoją podstawową listę kontrolną zgodności. Przed uruchomieniem muszą mieć wdrożony udokumentowany system zarządzania jakością, ukończoną ocenę zgodności (własną lub przeprowadzoną przez osobę trzecią, w zależności od kategorii), naniesione oznakowanie CE oraz zarejestrowany produkt w bazie danych ustawy o AI UE.

Konkretny przykład: firma programistyczna oferująca narzędzie do selekcji CV oparte na AI działom HR podlega załącznikowi III, punkt 4 (zatrudnienie i zarządzanie pracownikami). Przed wprowadzeniem tego narzędzia na rynek firma musi udokumentować swój proces zarządzania ryzykiem, wykazać jakość swoich danych szkoleniowych, dostarczyć dokumentację techniczną umożliwiającą organom regulacyjnym ocenę zgodności, wdrożyć mechanizmy nadzoru ludzkiego i zarejestrować system. Jeżeli firma ma siedzibę poza UE, musi wyznaczyć upoważnionego przedstawiciela z siedzibą w UE.

Bieżące obowiązki pozostają w mocy po wdrożeniu. Dostawcy muszą prowadzić dokumentację, monitorować działanie po wprowadzeniu do obrotu na podstawie artykułu 72, zgłaszać poważne incydenty na podstawie artykułu 73 oraz aktualizować dokumentację techniczną w przypadku istotnych modyfikacji systemu. Zgodność nie jest jednorazowym wydarzeniem, lecz ciągłą odpowiedzialnością operacyjną.

Dostawcy działający w regulowanych sektorach produktowych — takich jak wyroby medyczne lub maszyny — muszą dodatkowo spełnić sektorowe wymogi zgodności wchodzące w interakcję z ustawą o AI na podstawie załącznika I.

Kluczowe obowiązki

Zapewnienie zgodności z rozdziałem 2: Weryfikacja, że system AI wysokiego ryzyka spełnia wszystkie wymogi techniczne i w zakresie zarządzania (artykuły 8–15) przed wprowadzeniem na rynek, w tym dotyczące zarządzania ryzykiem, zarządzania danymi, przejrzystości, nadzoru ludzkiego i odporności.
Ustanowienie systemu zarządzania jakością: Wdrożenie udokumentowanego SZJ zgodnie z artykułem 17, obejmującego polityki, procedury, ocenę zgodności, monitorowanie po wprowadzeniu do obrotu i procedury zgłaszania incydentów.
Sporządzenie i utrzymanie dokumentacji technicznej: Przygotowanie i aktualizowanie dokumentacji technicznej określonej w załączniku IV, umożliwiając krajowym właściwym organom i jednostkom notyfikowanym dostęp do niej na żądanie.
Przejście oceny zgodności i naniesienie oznakowania CE: Ukończenie mającej zastosowanie procedury oceny zgodności (własnej lub przeprowadzonej przez osobę trzecią) i naniesienie oznakowania CE przed wprowadzeniem systemu na rynek lub oddaniem go do użytku w UE.
Rejestracja w bazie danych UE: Wpisanie systemu do ogólnounijnej bazy danych systemów AI wysokiego ryzyka ustanowionej na podstawie artykułu 71, jeżeli rejestracja jest obowiązkowa dla danej kategorii.
Przechowywanie dokumentacji przez dziesięć lat i współpraca z organami: Przechowywanie całej dokumentacji technicznej, deklaracji zgodności i stosownych dzienników przez co najmniej dziesięć lat; odpowiadanie na wnioski o udzielenie informacji od krajowych organów nadzoru i organów nadzoru rynku; wyznaczenie upoważnionego przedstawiciela UE, jeżeli dostawca nie ma siedziby w Unii.

Związek z innymi artykułami

Artykuł 16 nie może być odczytywany w izolacji. Jest to obowiązek-brama, który aktywuje i przywołuje praktycznie wszystkie inne wymogi skierowane do dostawców w tytule III.

Merytoryczne wymogi techniczne, których przestrzeganie artykuł 16 zobowiązuje dostawców zapewnić, znajdują się w artykułach 8–15 (rozdział 2). System zarządzania jakością, którego wymaga artykuł 16, jest szczegółowo opisany w artykule 17. Specyfikacje dokumentacji technicznej zawarte są w załączniku IV, do którego odwołuje się artykuł 11. Procedury oceny zgodności uruchamiane przez artykuł 16 są szczegółowo opisane w artykule 43, z zasadami dotyczącymi deklaracji zgodności w artykule 47 i zasadami dotyczącymi oznakowania CE w artykule 48.

Obowiązki w zakresie nadzoru po wprowadzeniu do obrotu, które rozszerzają zakres artykułu 16 poza wstępne wprowadzenie na rynek, są określone w artykule 72, ze zgłaszaniem poważnych incydentów w artykule 73. Upoważnieni przedstawiciele — wymagani dla dostawców spoza UE na podstawie artykułu 16 — są regulowani przez artykuł 22. Okoliczności, w których importerzy i dystrybutorzy przejmują obowiązki dostawcy, są określone w artykule 24. Wreszcie wymóg rejestracji w bazie danych UE wiąże się z artykułem 71. Krajowe właściwe organy egzekwujące obowiązki wynikające z artykułu 16 działają w ramach ustanowionych w artykułach 70 i 74.

Harmonogram zgodności

Ustawa o AI UE weszła w życie 1 sierpnia 2024 r., dwadzieścia dni po publikacji w Dzienniku Urzędowym. Jej przepisy mają jednak zastosowanie w sposób etapowy:

2 lutego 2025 r.: Zakazy dotyczące niedopuszczalnych praktyk AI (artykuł 5) stały się egzekwowalne.
2 sierpnia 2025 r.: Obowiązki dotyczące modeli AI ogólnego przeznaczenia (tytuł VIII, artykuły 51–56) stały się stosowalne.
2 sierpnia 2026 r.: Obowiązki wynikające z artykułu 16 stają się egzekwowalne dla systemów AI wysokiego ryzyka wymienionych w załączniku III (samodzielne systemy AI w obszarach takich jak zatrudnienie, edukacja, usługi podstawowe, biometria i egzekwowanie prawa).
2 sierpnia 2027 r.: Obowiązki wynikające z artykułu 16 stają się egzekwowalne dla systemów AI wysokiego ryzyka objętych załącznikiem I (elementy bezpieczeństwa produktów już regulowanych przez istniejące unijne przepisy sektorowe, takich jak wyroby medyczne, maszyny i lotnictwo cywilne).

Dostawcy nie powinni czekać na te daty egzekwowania, aby rozpocząć przygotowania. Budowanie systemu zarządzania jakością, kompilowanie dokumentacji technicznej i przeprowadzanie ocen zgodności są procesami wymagającymi znacznych zasobów. Organizacjom wprowadzającym systemy z załącznika III na rynek zaleca się operacyjną zgodność najpóźniej do połowy 2026 r., z analizami luk i programami naprawczymi zainicjowanymi nie później niż na początku 2025 r.

Official AI Act Compliance Deadline Calendar

Updated 2026-06-23 · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation	Applies to	Original date	New date	Status	Countdown	Legal basis
Prohibited Practices (Art. 5)	All providers and deployers	2 February 2025	2 February 2025	active	—	AI Act Art. 5
GPAI Rules (Chapter 5)	GPAI model providers	2 August 2025	2 August 2025	active	—	AI Act Art. 51-56
High-risk AI — Annex III (standalone)	Providers of standalone Annex III systems	2 August 2026	2 December 2027	deferred	—	AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded)	AI embedded in Annex I regulated products	2 August 2026	2 August 2028	deferred	—	AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking	Providers of generative GPAI systems	2 August 2025	2 August 2025	active	—	AI Act Art. 50(2)
Regulatory Sandboxes	National competent authorities	2 August 2026	2 August 2026	active	—	AI Act Art. 57

⬇ Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

Kto kwalifikuje się jako 'dostawca' w rozumieniu artykułu 16 ustawy o AI UE?

Dostawcą jest każda osoba fizyczna lub prawna, organ publiczny, agencja lub jednostka, która opracowuje system AI wysokiego ryzyka lub zleca jego opracowanie i wprowadza go na rynek lub oddaje do użytku pod własną nazwą lub znakiem towarowym, odpłatnie lub nieodpłatnie. Importerzy i dystrybutorzy mogą również przejmować obowiązki dostawcy w określonych okolicznościach zdefiniowanych w artykule 24.

Jaki jest najbardziej bezpośredni obowiązek nakładany przez artykuł 16 na dostawców?

Artykuł 16 wymaga od dostawców zapewnienia, że ich system AI wysokiego ryzyka spełnia wymogi określone w rozdziale 2 tytułu III (artykuły 8–15) przed wprowadzeniem go na rynek lub oddaniem do użytku. Obejmuje to wdrożenie systemu zarządzania jakością, sporządzenie dokumentacji technicznej oraz rejestrację systemu w bazie danych UE, jeżeli ma to zastosowanie.

Czy dostawcy muszą przechowywać dokumentację po wprowadzeniu systemu AI wysokiego ryzyka na rynek?

Tak. Artykuł 16 zobowiązuje dostawców do przechowywania dokumentacji technicznej oraz, w stosownych przypadkach, dzienników generowanych automatycznie przez system przez okres dziesięciu lat od wprowadzenia systemu na rynek lub oddania go do użytku. Ten obowiązek przechowywania jest kluczowy dla nadzoru po wprowadzeniu do obrotu i celów egzekwowania.

Kiedy obowiązki wynikające z artykułu 16 stają się egzekwowalne w odniesieniu do systemów AI wysokiego ryzyka?

W przypadku większości systemów AI wysokiego ryzyka wymienionych w załączniku III obowiązki z artykułu 16 mają zastosowanie od 2 sierpnia 2026 r. Systemy objęte załącznikiem I (elementy bezpieczeństwa produktów regulowanych przez istniejące przepisy sektorowe) mają czas do 2 sierpnia 2027 r. Dostawcy powinni rozpocząć przygotowania do zgodności na długo przed tymi datami.

Czy dostawca może przekazać obowiązki wynikające z artykułu 16 osobie trzeciej?

Dostawcy mogą korzystać z upoważnionych przedstawicieli mających siedzibę w UE w celu wypełniania określonych obowiązków administracyjnych w ich imieniu, zgodnie z artykułem 22. Jednak odpowiedzialność prawna za zgodność z wymogami rozdziału 2 pozostaje po stronie dostawcy. Przekazanie uprawnień nie przenosi odpowiedzialności za zgodność samego systemu.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.