Artykuł 19 Rozporządzenia (UE) 2024/1689 — Automatycznie generowane logi. Oficjalny tekst, praktyczna interpretacja, kluczowe obowiązki i implikacje dla zgodności.
Streszczenie oficjalnego tekstu
Artykuł 19 Rozporządzenia (UE) 2024/1689 ustanawia obowiązek logowania działający na dwóch poziomach: obowiązek projektowania dla dostawców i obowiązek operacyjny dla podmiotów stosujących.
Po stronie dostawcy Artykuł 19(1) wymaga, aby systemy AI wysokiego ryzyka były technicznie zdolne do automatycznego generowania logów swojego działania przez cały okres użytkowania. Dostawcy muszą wbudować tę funkcjonalność w system w zakresie technicznie wykonalnym, zapewniając, że zdarzenia mogą być rejestrowane bez ręcznej interwencji. Łączy się to bezpośrednio z szerszymi ramami przejrzystości i identyfikowalności Tytułu III.
Po stronie podmiotu stosującego Artykuł 19(2) wymaga, aby podmioty stosujące przechowywały logi automatycznie generowane przez obsługiwane przez nie systemy AI wysokiego ryzyka. Minimalny okres przechowywania wynosi sześć miesięcy, chyba że prawo Unii lub właściwe prawo państwa członkowskiego przewiduje dłuższy okres. Przepisy sektorowe — na przykład w finansach, opiece zdrowotnej lub infrastrukturze krytycznej — będą często zastępować to domyślne minimum.
Logi przewidziane przez Artykuł 19 służą wielu celom zgodności: wspierają monitoring po wprowadzeniu na rynek na podstawie Artykułu 72, ułatwiają zgłaszanie incydentów na podstawie Artykułu 73 i zapewniają podstawę dowodową potrzebną krajowym organom właściwym przy prowadzeniu nadzoru rynku na podstawie Rozdziału VI. Artykuł sam w sobie nie przepisuje dokładnego formatu technicznego ani poziomu szczegółowości logów, pozostawiając te szczegóły normom zharmonizowanym i wymaganiom dotyczącym dokumentacji technicznej z Artykułu 11 i Załącznika IV.
Co to oznacza w praktyce
Dla organizacji wdrażających systemy AI wysokiego ryzyka Artykuł 19 wprowadza konkretny obowiązek przechowywania danych, który musi być wbudowany w procesy operacyjne od pierwszego dnia wdrożenia.
Podmioty stosujące muszą najpierw zweryfikować, że używany system AI jest technicznie zdolny do automatycznego generowania logów. Jeśli dostawca dostarcza system, któremu brakuje tej funkcjonalności tam, gdzie jest ona technicznie wykonalna, dostawca narusza własne obowiązki — ale podmiot stosujący nadal ponosi odpowiedzialność za przeprowadzenie odpowiedniej należytej staranności przed wdrożeniem, zgodnie z wymogami Artykułu 26.
W praktyce oznacza to, że podmioty stosujące powinny żądać od dostawców jasnej dokumentacji potwierdzającej, że funkcjonalność logowania jest obecna, opisującej jakie zdarzenia są rejestrowane i określającej format logów. Dokumentacja ta powinna stanowić część ustaleń umownych między dostawcą a podmiotem stosującym.
Po uruchomieniu podmioty stosujące muszą wdrożyć politykę przechowywania logów obejmującą co najmniej sześć miesięcy. Dla organizacji działających w regulowanych sektorach ta wartość bazowa jest prawie zawsze wydłużana: szpital wdrażający narzędzie diagnostyczne wspomagane przez AI będzie musiał dostosować przechowywanie logów do przepisów dotyczących dokumentacji medycznej; bank wdrażający system scoringu kredytowego AI musi uwzględnić zasady prowadzenia dokumentacji usług finansowych, które często wymagają kilku lat przechowywania.
Konkretne kroki operacyjne obejmują: wyznaczenie odpowiedzialności za przechowywanie logów i kontrolę dostępu, zapewnienie, że logi są odporne na manipulacje i bezpiecznie przechowywane, ustanowienie procesów szybkiego pobierania logów w odpowiedzi na wniosek regulacyjny lub dochodzenie incydentalne, oraz dokumentowanie polityki przechowywania w ramach szerszych ram zarządzania AI organizacji.
Logi powinny rejestrować wystarczające informacje, aby umożliwić odtworzenie danych wejściowych przekazanych do systemu, wygenerowanych wyników, wersji używanego modelu i harmonogramu operacji — umożliwiając znaczący przegląd post factum.
Kluczowe obowiązki
- Dostawcy muszą projektować i budować systemy AI wysokiego ryzyka tak, aby były one technicznie zdolne do automatycznego generowania logów swojego działania, w zakresie technicznie wykonalnym, przez cały operacyjny czas życia systemu.
- Podmioty stosujące muszą przechowywać automatycznie generowane logi produkowane przez obsługiwane przez nie systemy AI wysokiego ryzyka przez co najmniej sześć miesięcy od daty wygenerowania lub dłużej, jeśli wymaga tego właściwe prawo Unii lub państwa członkowskiego.
- Podmioty stosujące muszą zapewnić, że przechowywane logi są dostępne, bezpieczne i mogą być udostępniane krajowym organom właściwym na żądanie podczas nadzoru rynku lub dochodzeń w sprawie incydentów.
- Dostawcy muszą dokumentować funkcjonalność logowania swojego systemu — w tym co jest rejestrowane, format logów i wszelkie znane ograniczenia techniczne — jako część dokumentacji technicznej wymaganej na podstawie Artykułu 11 i Załącznika IV.
- Tam, gdzie przepisy sektorowe nakładają surowsze lub dłuższe wymagania dotyczące przechowywania, podmioty stosujące muszą stosować te wymagania oprócz i zamiast wartości bazowej sześciu miesięcy.
- Podmioty stosujące muszą zapewnić, że infrastruktura logowania jest utrzymywana przez cały okres użytkowania systemu AI wysokiego ryzyka oraz że integralność logów jest chroniona przed manipulacją lub przypadkowym usunięciem.
Związek z innymi artykułami
Artykuł 19 mieści się w Rozdziale 3 Tytułu III i musi być czytany jako część zintegrowanych ram identyfikowalności, a nie jako izolowany obowiązek.
Łączy się bezpośrednio z Artykułem 12 (Prowadzenie dokumentacji), który wymaga, aby systemy AI wysokiego ryzyka były zaprojektowane tak, aby umożliwiały prowadzenie dokumentacji swojego działania, oraz z Artykułem 11 i Załącznikiem IV, które określają, jaką dokumentację techniczną dostawcy muszą prowadzić, w tym opisy funkcjonalności logowania.
Artykuł 19 zasila Artykuł 72 (Monitoring po wprowadzeniu na rynek), który wymaga, aby dostawcy aktywnie monitorowali wydajność systemu w terenie — logi są podstawowym źródłem danych dla tego monitoringu. Stanowi również podstawę Artykułu 73 (Zgłaszanie poważnych incydentów), gdzie logi zapewniają podstawę dowodową dla zrozumienia tego, co wydarzyło się podczas incydentu.
Logi przechowywane na podstawie Artykułu 19 należą do zapisów, których krajowe organy właściwe mogą żądać przy wykonywaniu swoich uprawnień w zakresie nadzoru rynku na podstawie Artykułów 74 i 75. Wreszcie, podział odpowiedzialności między dostawcami a podmiotami stosującymi, określony w Artykule 19, odzwierciedla szersze ramy ustanowione przez Artykuł 25 (Odpowiedzialności w łańcuchu wartości) i Artykuł 26 (Obowiązki podmiotów stosujących).
Harmonogram zgodności
Ustawa o AI UE weszła w życie 1 sierpnia 2024 r., inicjując etapowy harmonogram stosowania.
Artykuł 19 mieści się w Tytule III, Rozdziale 3, który reguluje obowiązki dostawców i podmiotów stosujących systemów AI wysokiego ryzyka. Ogólna data stosowania obowiązków dla systemów AI wysokiego ryzyka — w tym Artykułu 19 — to 2 sierpnia 2026 r. dla systemów wymienionych w Załączniku III (zastosowania wysokiego ryzyka w obszarach takich jak edukacja, zatrudnienie, usługi podstawowe i egzekwowanie prawa). Dla systemów AI wysokiego ryzyka objętych Załącznikiem I (elementy bezpieczeństwa produktów regulowanych przez istniejące unijne przepisy harmonizacyjne) obowiązki stosuje się od 2 sierpnia 2027 r., zgodnie z odnowieniem lub pierwszym wydaniem odpowiednich ocen zgodności produktów.
Wcześniejsze kamienie milowe stosowania obejmują zakaz niedopuszczalnych praktyk AI (Artykuł 5), który obowiązywał od 2 lutego 2025 r., oraz obowiązki odnoszące się do modeli AI ogólnego przeznaczenia (Tytuł VII), które obowiązywały od 2 sierpnia 2025 r.
Organizacje wdrażające systemy AI wysokiego ryzyka powinny traktować datę 2 sierpnia 2026 r. jako twardy termin zgodności dla obowiązków wynikających z Artykułu 19, ale powinny z odpowiednim wyprzedzeniem zacząć projektować polityki przechowywania logów, przeglądać umowy z dostawcami i dostosowywać się do sektorowych przepisów dotyczących przechowywania — złożoność zarządzania danymi w przedsiębiorstwach sprawia, że zgodność w ostatniej chwili jest strukturalnie trudna.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Automatycznie generowane logi to zapisy produkowane przez systemy AI wysokiego ryzyka, które rejestrują zdarzenia, dane wejściowe, wyjściowe i dane operacyjne podczas cyklu życia systemu. Artykuł 19 wymaga, aby dostawcy zapewnili, że ich systemy AI wysokiego ryzyka automatycznie generują takie logi w zakresie technicznie wykonalnym, umożliwiając identyfikowalność i monitoring po wprowadzeniu na rynek.
Podstawowy obowiązek spoczywa na podmiotach stosujących, które muszą przechowywać automatycznie generowane logi przez minimalny okres określony przez właściwe prawo lub, w przypadku braku takiego prawa, przez co najmniej sześć miesięcy. Dostawcy muszą zaprojektować i wbudować funkcjonalność logowania w sam system. Obie strony ponoszą odrębne, lecz komplementarne obowiązki.
Nie. Artykuł 19 stosuje się wyłącznie do systemów AI wysokiego ryzyka zdefiniowanych w Artykule 6 i wymienionych w Załączniku III do Ustawy o AI UE. Systemy AI ogólnego przeznaczenia oraz systemy AI, które nie wchodzą w zakres klasyfikacji wysokiego ryzyka, nie podlegają temu szczegółowemu wymogowi dotyczącemu logowania, choć mogą mieć zastosowanie inne obowiązki.
Podmioty stosujące muszą przechowywać automatycznie generowane logi przez co najmniej sześć miesięcy, chyba że prawo Unii lub prawo państwa członkowskiego mające zastosowanie do podmiotu stosującego lub przypadku użycia przewiduje inny, zazwyczaj dłuższy, okres przechowywania. Podmioty stosujące powinny zawsze sprawdzać przepisy sektorowe — takie jak te dotyczące opieki zdrowotnej, finansów lub infrastruktury krytycznej — ponieważ mogą one nakładać surowsze wymagania.
Niezachowanie logów zgodnie z wymogami Artykułu 19 może stanowić naruszenie Ustawy o AI UE i narazić podmioty stosujące na działania nadzorcze i kary administracyjne. Logi są również kluczowym dowodem w przypadku incydentu, dochodzenia bezpieczeństwa lub audytu regulacyjnego, więc ich brak może znacznie zwiększyć odpowiedzialność.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.