Artykuł 17 — System zarządzania jakością (rozporządzenie UE w sprawie AI)

Artykuł 17 rozporządzenia (UE) 2024/1689 — System zarządzania jakością. Oficjalny tekst, praktyczna interpretacja, kluczowe obowiązki i implikacje dla zgodności.

Streszczenie tekstu oficjalnego

Artykuł 17 rozporządzenia (UE) 2024/1689 zobowiązuje dostawców systemów AI wysokiego ryzyka do wdrożenia systemu zarządzania jakością (SZJ) przed wprowadzeniem takich systemów do obrotu lub oddaniem ich do użytku. SZJ musi być udokumentowany w sposób systematyczny i uporządkowany i musi obejmować wszystkie etapy cyklu życia systemu AI.

Rozporządzenie określa, że SZJ musi obejmować co najmniej: strategię dostawcy dotyczącą zgodności regulacyjnej, w tym procedury oceny zgodności; techniki, procedury i systematyczne działania stosowane w projektowaniu, kontroli projektu i weryfikacji systemu AI; procedury zarządzania danymi obejmujące pozyskiwanie, zbieranie, analizę, etykietowanie, przechowywanie, filtrowanie, ekstrakcję, agregację i zachowywanie danych; system zarządzania ryzykiem przewidziany w Artykule 9; ustanowienie i wdrożenie systemu nadzoru popodrynkowego zgodnie z Artykułem 72; procedury zgłaszania incydentów zgodnie z Artykułem 73; obsługę komunikacji z właściwymi organami, jednostkami notyfikowanymi i innymi odpowiednimi podmiotami; systemy i procedury prowadzenia rejestrów; zarządzanie zasobami, w tym środki związane z łańcuchem dostaw; oraz ramy odpowiedzialności dokumentujące obowiązki w całej organizacji.

W przypadku gdy dostawcy są osobami fizycznymi lub mikroprzedsiębiorstwami zgodnie z definicją w Zaleceniu Komisji 2003/361/WE, Komisja jest uprawniona do przyjmowania aktów wykonawczych zezwalających na uproszczone ustalenia SZJ, uznając zasadę proporcjonalności przenikającą rozporządzenie.

Co to oznacza w praktyce

Dla każdej organizacji, która opracowuje lub wprowadza system AI wysokiego ryzyka na rynek UE, Artykuł 17 oznacza, że zgodność nie może być jednorazowym ćwiczeniem przeprowadzanym w momencie wydania produktu. Musi być osadzona w żywym systemie organizacyjnym, który rządzi całym cyklem życia produktu — od wstępnych decyzji projektowych przez wdrożenie, monitorowanie i ewentualne wycofanie z użytku.

W praktyce dostawca musi być w stanie wykazać, że udokumentowane procedury istnieją i są przestrzegane na każdym etapie. Dostawca AI dla ochrony zdrowia nie może na przykład po prostu wytrenować modelu i przedstawić go do oceny zgodności. Organizacja musi wykazać, że pozyskiwanie danych przebiegało zgodnie z udokumentowanymi regułami zarządzania, że wybory projektowe były weryfikowane w oparciu o kryteria ryzyka, że odpowiedzialności za nadzór są przypisane i zarejestrowane, oraz że istnieje mechanizm wykrywania i zgłaszania incydentów popodrynkowych.

Wymóg SZJ oznacza, że zgodność jest równie dużym wyzwaniem organizacyjnym i proceduralnym, co technicznym. Firmy, które już działają w ramach ISO 9001 lub sektorowych ram zarządzania — takich jak ISO 13485 w przypadku wyrobów medycznych — znajdą znaczne pokrywanie się, ale nadal będą musiały wyraźnie odwzorować swoje istniejące systemy na wymagania rozporządzenia w sprawie AI, zamiast zakładać równoważność.

Mniejsi dostawcy korzystają z przepisu o proporcjonalności: mikroprzedsiębiorstwa mogą kwalifikować się do uproszczonych ustaleń na mocy aktów wykonawczych wydanych przez Komisję. Nie zwalnia ich to jednak z podstawowych obowiązków materialnych; może to jedynie wpływać na formę, w jakiej te obowiązki są dokumentowane i zarządzane.

W praktyce dostawcy powinni traktować SZJ jako centralny kręgosłup, z którego generowane i zarządzane są wszystkie inne artefakty zgodności — dokumentacja techniczna, rejestry ryzyka, plany nadzoru popodrynkowego, dzienniki incydentów.

Kluczowe obowiązki

• Ustanowienie udokumentowanego systemu zarządzania jakością przed wprowadzeniem systemu AI wysokiego ryzyka do obrotu lub oddaniem go do użytku, obejmującego wszystkie fazy cyklu życia.
• Integracja procedur zarządzania ryzykiem wymaganych przez Artykuł 9 z SZJ, zapewniając systematyczność i identyfikowalność identyfikacji, oceny i ograniczania ryzyka.
• Dokumentowanie praktyk zarządzania danymi obejmujących pozyskiwanie, etykietowanie, przetwarzanie, przechowywanie i zachowywanie, zgodnie z wymaganiami dotyczącymi zarządzania danymi określonymi w Artykule 10.
• Utrzymywanie dokumentacji technicznej określonej w Artykule 11 i Załączniku IV jako wynik SZJ, aktualnej i dostępnej do celów oceny zgodności i nadzoru rynku.
• Wdrożenie procedur nadzoru popodrynkowego i zgłaszania incydentów w ramach SZJ, zgodnie odpowiednio z Artykułami 72 i 73.
• Definiowanie i dokumentowanie struktur odpowiedzialności, ról i obowiązków w całej organizacji, w tym nadzoru nad łańcuchem dostaw w przypadku, gdy komponenty stron trzecich przyczyniają się do systemu AI.

Relacja z innymi artykułami

Artykuł 17 pełni funkcję organizacyjnego kręgosłupa systemu zgodności dla systemów AI wysokiego ryzyka ustanowionego w Tytule III, Rozdziale 3. Czerpie swoją treść materialną z wielu wzajemnie powiązanych obowiązków: system zarządzania ryzykiem z Artykułu 9, wymagania dotyczące danych i zarządzania danymi z Artykułu 10 oraz system dokumentacji technicznej z Artykułu 11 bezpośrednio wpływają na to, co SZJ musi obejmować i wytwarzać.

SZJ musi również wspierać procedury oceny zgodności w Artykułach 43 i 44, ponieważ generowana przez niego dokumentacja stanowi podstawowy dowód weryfikowany przez jednostki notyfikowane lub procesy samooceny. Obowiązki popodrynkowe wynikające z Artykułu 72 (nadzór popodrynkowy) i Artykułu 73 (zgłaszanie poważnych incydentów) muszą być osadzone w procedurach SZJ, a nie zarządzane jako oddzielne działania doraźne.

Artykuł 26 nakłada na podmioty stosujące obowiązki odrębne od, lecz uzupełniające obowiązki SZJ dostawców. W przypadkach, gdy dostawcy i podmioty stosujące nakładają się na siebie — na przykład gdy organizacja zarówno opracowuje, jak i wdraża wewnętrznie system AI wysokiego ryzyka — SZJ z Artykułu 17 musi być odczytywany łącznie z obowiązkami podmiotu stosującego z Artykułu 26, aby zapewnić pełne pokrycie.

Harmonogram zgodności

Rozporządzenie UE w sprawie AI weszło w życie 1 sierpnia 2024 r., po opublikowaniu w Dzienniku Urzędowym Unii Europejskiej. Stosowanie jego przepisów jest stopniowane:

• Luty 2025 — Zakazy dotyczące praktyk AI o niedopuszczalnym ryzyku (Artykuł 5) stały się obowiązujące.
• Sierpień 2025 — Obowiązki dotyczące modeli AI ogólnego przeznaczenia (Tytuł VIII) stały się obowiązujące.
• 2 sierpnia 2026 — Artykuł 17 staje się obowiązujący dla dostawców systemów AI wysokiego ryzyka wymienionych w Załączniku III (systemy w obszarach takich jak biometria, infrastruktura krytyczna, edukacja, zatrudnienie, usługi podstawowe, egzekwowanie prawa, migracja i wymiar sprawiedliwości).
• 2 sierpnia 2027 — Artykuł 17 staje się obowiązujący dla dostawców systemów AI wysokiego ryzyka regulowanych przez Załącznik I (komponenty AI w produktach już podlegających unijnym przepisom harmonizacyjnym, takich jak wyroby medyczne, maszyny i wyposażenie lotnicze).

Dostawcy, których systemy są już na rynku przed tymi datami, korzystają z ustaleń przejściowych na mocy Artykułu 111, które mogą odroczyć pełne obowiązki zgodności SZJ, pod warunkiem spełnienia warunków dotyczących znaczących modyfikacji i trwających cykli oceny zgodności. Organizacje powinny rozpocząć projektowanie SZJ i oceny luk na długo przed obowiązującym terminem, aby umożliwić wewnętrzną walidację, zaangażowanie jednostek notyfikowanych tam, gdzie jest to wymagane, oraz iteracyjne udoskonalanie przed wejściem w życie obowiązku.