Artykuł 18 — Przechowywanie dokumentacji (Rozporządzenie AI UE)

Artykuł 18 Rozporządzenia (UE) 2024/1689 — Przechowywanie dokumentacji. Oficjalny tekst, praktyczna interpretacja, kluczowe obowiązki i implikacje dla zgodności.

Podsumowanie tekstu oficjalnego

Artykuł 18 Rozporządzenia (UE) 2024/1689 ustanawia obowiązkowe zobowiązania w zakresie przechowywania dokumentacji dla dostawców systemów AI wysokiego ryzyka sklasyfikowanych w Załączniku III lub opracowanych zgodnie z przepisami Tytułu III, Rozdziału 2. Artykuł wymaga od dostawców przechowywania przez okres dziesięciu lat od daty wprowadzenia systemu AI wysokiego ryzyka do obrotu lub oddania go do użytku określonego zestawu dokumentów i danych potwierdzających zgodność z Rozporządzeniem.

Dokumentacja, która musi być przechowywana, obejmuje: dokumentację techniczną sporządzoną zgodnie z Artykułem 11 i Załącznikiem IV; dokumentację systemu zarządzania jakością wymaganą przez Artykuł 17; deklarację zgodności UE wydaną na mocy Artykułu 47; w stosownych przypadkach dokumentację i certyfikaty wydane przez jednostki notyfikowane po przeprowadzeniu ocen zgodności zgodnie z Artykułem 43; oraz plany monitorowania po wprowadzeniu do obrotu i wynikające z nich dane zebrane zgodnie z Artykułem 72.

W przypadku gdy dostawca ma siedzibę poza Unią Europejską, obowiązek przechowywania dostępnej dokumentacji spoczywa wspólnie na dostawcy i na upoważnionym przedstawicielu z siedzibą w UE wyznaczonym na mocy Artykułu 22. Artykuł wyjaśnia ponadto, że w przypadku gdy sektorowe prawo unijne — takie jak Rozporządzenie w sprawie wyrobów medycznych (UE) 2017/745 lub Rozporządzenie w sprawie maszyn (UE) 2023/1230 — przewiduje dłuższy okres przechowywania równoważnych dokumentów technicznych, obowiązuje surowszy wymóg sektorowy, zapewniając spójność między ramami regulacyjnymi.

Co to oznacza w praktyce

Dla zespołów ds. zgodności i właścicieli produktów Artykuł 18 przekłada się na konkretny program zarządzania dokumentacją, który musi zostać zaprojektowany przed wprowadzeniem systemu AI wysokiego ryzyka na rynek, a nie dopasowywany po fakcie.

Kogo dotyczy. Każdy podmiot prawny kwalifikujący się jako „dostawca" zgodnie z Artykułem 3(3) — zazwyczaj organizacja, która opracowuje lub zleca opracowanie systemu AI wysokiego ryzyka i wprowadza go na rynek pod własną nazwą lub znakiem towarowym — ponosi podstawowy obowiązek. Zewnętrzni dystrybutorzy i importerzy nie podlegają bezpośrednio Artykułowi 18, ale mogą uruchomić równoważne obowiązki, jeżeli zasadniczo modyfikują system zgodnie z Artykułem 25.

Co przechowywać. Obowiązek obejmuje pełny cykl dokumentacyjny: dokumentację techniczną z fazy projektowania (architektura, zbiory danych szkoleniowych, ocena ryzyka), dokumenty systemu zarządzania jakością, w tym wewnętrzne ślady audytowe, podpisaną deklarację zgodności, wszelkie certyfikaty jednostek notyfikowanych oraz ewoluujący rejestr monitorowania po wprowadzeniu do obrotu. Kontrola wersji jest domyślnie wymagana, ponieważ aktualizacje stanowiące istotną modyfikację resetują obowiązki w zakresie zgodności, a tym samym cykl dokumentacyjny.

Praktyczne przykłady. Firma fintech wdrażająca model oceny zdolności kredytowej sklasyfikowany jako wysokiego ryzyka musi archiwizować kartę modelu, raporty z testów stronniczości, deklarację zgodności oraz wszystkie dzienniki incydentów po wdrożeniu przez dziesięć lat. Producent wyrobów medycznych integrujący narzędzie diagnostyczne oparte na AI, które już podlega MDR, musi sprawdzić, czy obowiązuje 15-letni okres przechowywania wynikający z MDR, w takim przypadku ten dłuższy okres jest wiążący.

Zalecenie operacyjne. Dostawcy powinni wdrożyć system zarządzania dokumentami (DMS) z dostępem opartym na rolach, automatycznymi harmonogramami przechowywania powiązanymi z datami wprowadzenia na rynek oraz ścieżką audytu dotyczącą tego, kto uzyskał dostęp do dokumentów lub je zmodyfikował — wszystko to wspiera również gotowość do inspekcji nadzoru rynku zgodnie z Artykułem 74.

Kluczowe obowiązki

• Przechowywanie dokumentacji technicznej sporządzonej zgodnie z Artykułem 11 i Załącznikiem IV przez okres co najmniej 10 lat od daty wprowadzenia systemu AI wysokiego ryzyka do obrotu lub oddania go do użytku.
• Przechowywanie dokumentacji systemu zarządzania jakością wymaganej przez Artykuł 17, w tym dokumentów wewnętrznych kontroli, wyników testów i działań naprawczych, przez ten sam 10-letni okres.
• Zachowanie deklaracji zgodności UE wydanej zgodnie z Artykułem 47 oraz, w przypadku przeprowadzenia oceny zgodności przez jednostkę notyfikowaną zgodnie z Artykułem 43, wszystkich certyfikatów i powiązanej korespondencji wydanej przez tę jednostkę.
• Utrzymywanie dokumentacji monitorowania po wprowadzeniu do obrotu zebranej zgodnie z planem wymaganym przez Artykuł 72, w tym raportów o incydentach i wszelkich powiadomień o poważnych incydentach złożonych zgodnie z Artykułem 73.
• Zapewnienie, że dokumentacja jest przechowywana w sposób umożliwiający jej niezwłoczne udostępnienie krajowym organom nadzoru rynku na żądanie przez cały okres przechowywania.
• W przypadku wyznaczenia upoważnionego przedstawiciela zgodnie z Artykułem 22, przedstawiciel ten musi posiadać kopię dokumentacji i być uprawniony do jej przekazania właściwym organom w imieniu dostawcy.

Powiązania z innymi artykułami

Artykuł 18 stanowi archiwalne ramy systemu zgodności AI wysokiego ryzyka i nie może być rozumiany w oderwaniu od pozostałych przepisów.

Jest wtórny wobec Artykułu 11 (dokumentacja techniczna) i Załącznika IV, które określają, co musi zostać stworzone; Artykuł 18 reguluje następnie, jak długo musi być przechowywane. Zależy od Artykułu 17 (system zarządzania jakością), ponieważ dokumenty QMS, które nakazuje, muszą być zachowane. Odwołuje się do Artykułu 47 (deklaracja zgodności UE) i Artykułu 43 (ocena zgodności), których wyniki stanowią część przechowywanego pliku.

Obowiązki po wprowadzeniu do obrotu wynikające z Artykułu 72 (plan monitorowania po wprowadzeniu do obrotu) i Artykułu 73 (zgłaszanie poważnych incydentów) są stale wprowadzane do archiwum dokumentów przez cały operacyjny okres życia systemu. Artykuł 74 (nadzór rynku) i Artykuł 75 (dostęp do danych i dokumentacji) stanowią odpowiedniki egzekucyjne: inspektorzy wykonujący uprawnienia wynikające z tych artykułów będą wymagać dostępu do dokładnie tych dokumentów, które Artykuł 18 nakazuje przechowywać.

W przypadku dostawców spoza UE Artykuł 22 dotyczący upoważnionych przedstawicieli musi być czytany łącznie z Artykułem 18 w celu ustalenia, który podmiot przechowuje fizyczne lub elektroniczne dokumenty w Unii.

Harmonogram zgodności

Rozporządzenie w sprawie AI UE weszło w życie 1 sierpnia 2024 r., rozpoczynając fazowy harmonogram stosowania.

Artykuł 18 wchodzi w zakres Tytułu III, Rozdziału 3, który reguluje obowiązki dostawców i podmiotów stosujących systemy AI wysokiego ryzyka wymienione w Załączniku III. Przepisy te mają zastosowanie od 2 sierpnia 2026 r. — ogólnej daty stosowania przepisów dotyczących AI wysokiego ryzyka, 24 miesiące po wejściu w życie.

W przypadku systemów AI wysokiego ryzyka objętych przepisami sektorowymi wymienionymi w Załączniku I (np. maszyny, wyroby medyczne, lotnictwo cywilne) termin jest przedłużony do 2 sierpnia 2027 r., 36 miesięcy po wejściu w życie, z uwzględnieniem konieczności dostosowania do istniejących sektorowych ram zgodności.

Dostawcy powinni zauważyć, że 10-letni termin przechowywania zaczyna biec od momentu wprowadzenia systemu do obrotu lub oddania go do użytku — co może nastąpić w dniu lub wkrótce po obowiązującej dacie stosowania. Obowiązki dokumentacyjne faktycznie rozpoczynają się zatem w tym samym dniu, w którym obowiązki dotyczące wysokiego ryzyka jako całość stają się egzekwowalne. Organizacje, które planują wprowadzenie systemów na rynek w sierpniu 2026 r. lub w okolicach tej daty, powinny mieć swoją infrastrukturę zarządzania dokumentacją operacyjną z odpowiednim wyprzedzeniem, ponieważ dokumentacja techniczna zgodnie z Artykułem 11 musi istnieć przed zakończeniem oceny zgodności.