Artykuł 20 — Działania naprawcze i obowiązek informacyjny (Rozporządzenie UE w sprawie AI)

Artykuł 20 Rozporządzenia (UE) 2024/1689 — Działania naprawcze i obowiązek informacyjny. Tekst oficjalny, interpretacja praktyczna, kluczowe obowiązki i implikacje dla zgodności.

Podsumowanie tekstu oficjalnego

Artykuł 20 Rozporządzenia (UE) 2024/1689 ustanawia obowiązkowe działania naprawcze i obowiązek informacyjny dla dostawców systemów AI wysokiego ryzyka. W przypadku gdy dostawca ma podstawy, by sądzić, że system AI wysokiego ryzyka, który wprowadził do obrotu lub oddał do użytku, nie jest już zgodny z wymaganiami określonymi w Rozdziale 2 Tytułu III, dostawca ten musi niezwłocznie podjąć niezbędne działania naprawcze, aby przywrócić system do zgodności, wycofać go lub odwołać, stosownie do okoliczności.

Dostawca jest jednocześnie zobowiązany do poinformowania dystrybutorów systemu oraz, w stosownych przypadkach, upoważnionego przedstawiciela, podmiotów stosujących i wszelkich innych istotnych stron trzecich o niezgodności i podjętych działaniach naprawczych. W przypadku gdy system AI stwarza ryzyko w rozumieniu Artykułu 79(1), dostawca musi również niezwłocznie powiadomić właściwe organy krajowe państw członkowskich, w których udostępnił system, oraz, w stosownych przypadkach, jednostkę notyfikowaną, która wydała certyfikat dla systemu, podając szczegóły dotyczące niezgodności i podjętych działań naprawczych.

Artykuł łączy zatem dwa odrębne, ale powiązane obowiązki: obowiązek operacyjny do działania i przywrócenia zgodności oraz obowiązek informacyjny, zapewniający, że wszyscy uczestnicy łańcucha dostaw i wdrożenia — w tym organy nadzoru rynku — zostaną niezwłocznie poinformowani o sytuacji i krokach podejmowanych w celu jej rozwiązania. Ta podwójna struktura zapewnia, że ryzyka nie pozostają ukryte w organizacji dostawcy, lecz są szybko ujawniane w całym ekosystemie regulacyjnym i komercyjnym.

Co to oznacza w praktyce

Dla organizacji, które opracowują lub wprowadzają systemy AI wysokiego ryzyka na rynek UE, Artykuł 20 tworzy stały obowiązek, który jest permanentnie aktywny przez cały cykl życia systemu. Zgodności nie można traktować jako jednorazowego ćwiczenia ograniczonego do wstępnej oceny zgodności.

Kogo dotyczy: Każdy dostawca systemu AI wysokiego ryzyka w zakresie Załącznika III lub systemów podlegających regułom klasyfikacji wysokiego ryzyka z Artykułu 6. Obejmuje to producentów, importerów wprowadzających system innego podmiotu na rynek UE pod własną nazwą oraz osoby prawne w krajach trzecich, których systemy są używane w UE za pośrednictwem upoważnionego przedstawiciela.

Co uruchamia działanie: Progiem jest „podstawy, by sądzić" — celowo niska poprzeczka dowodowa. Dostawca nie potrzebuje pewności co do niezgodności; wiarygodna podstawa do obaw, niezależnie od tego, czy wynika z wewnętrznych danych monitorowania po wprowadzeniu do obrotu, raportu podmiotu stosującego, skargi użytkownika czy zapytania regulatora, jest wystarczająca do aktywowania obowiązku.

Konkretny przykład: Dostawca systemu AI wysokiego ryzyka stosowanego przy ocenie zdolności kredytowej wykrywa poprzez proces monitorowania po wprowadzeniu do obrotu (wymagany na podstawie Artykułu 72), że dokładność systemu znacznie się pogorszyła dla chronionej grupy demograficznej, co stwarza potencjalne naruszenie wymogów dotyczących stronniczości i solidności na podstawie Artykułów 9 i 15. Na podstawie Artykułu 20 dostawca musi szybko ocenić opcje naprawcze (ponowne szkolenie, dostosowanie parametrów, tymczasowe zawieszenie), wdrożyć wybrane działanie, powiadomić wszystkie podmioty stosujące aktualnie używające systemu i poinformować właściwy krajowy organ nadzoru rynku, jeśli pogorszenie stanowi ryzyko na podstawie Artykułu 79(1).

Dokumentacja: Wszystkie działania naprawcze i powiadomienia należy rejestrować w dokumentacji technicznej prowadzonej na podstawie Artykułu 18 i dziennikach przechowywanych na podstawie Artykułu 19, gdyż będą one stanowić podstawowy dowód weryfikowany przez organy.

Kluczowe obowiązki

Natychmiastowe działanie naprawcze: Podjęcie wszelkich niezbędnych środków w celu przywrócenia zgodności, wycofania systemu z rynku lub odwołania go od podmiotów stosujących i użytkowników, proporcjonalnie do charakteru i wagi zidentyfikowanej niezgodności.
Powiadomienie łańcucha dostaw: Poinformowanie dystrybutorów, upoważnionych przedstawicieli i podmiotów stosujących o niezgodności i podjętych działaniach naprawczych bez zbędnej zwłoki.
Powiadomienie organów: W przypadku gdy niezgodność stwarza ryzyko w rozumieniu Artykułu 79(1), powiadomienie właściwych organów nadzoru rynku wszystkich dotkniętych państw członkowskich oraz wszelkich jednostek notyfikowanych, które wydały certyfikat dla systemu.
Udostępnienie informacji: Dostarczenie organom krajowym i jednostkom notyfikowanym pełnych informacji o niezgodności, jej potencjalnych konsekwencjach oraz wdrożonych lub planowanych środkach naprawczych.
Stała czujność: Utrzymywanie systemów monitorowania po wprowadzeniu do obrotu wymaganych na podstawie Artykułu 72 w celu zapewnienia, że okoliczności prowadzące do niezgodności są wykrywane w odpowiednim czasie i nie utrzymują się bez rozwiązania.
Dokumentowanie działań: Rejestrowanie wszystkich decyzji naprawczych, wydanych powiadomień i komunikacji z organami jako część bieżących obowiązków technicznych i zarządzania jakością na podstawie Artykułów 17, 18 i 19.

Relacja do innych artykułów

Artykuł 20 znajduje się w operacyjnym centrum obowiązków dostawcy przez cały cykl życia i łączy się z kilkoma innymi przepisami.

Jest poprzedzony przez Artykuł 73 (zgłaszanie poważnych incydentów), który ma zastosowanie konkretnie w przypadku, gdy system AI wysokiego ryzyka powoduje poważny incydent lub przyczynia się do niego; oba reżimy mogą być uruchamiane jednocześnie i muszą być zarządzane równolegle. Jest następstwem Artykułu 72 (monitorowanie po wprowadzeniu do obrotu), który stanowi główny mechanizm, za pomocą którego dostawcy wykrywają niezgodności aktywujące Artykuł 20.

Obowiązek podjęcia działań naprawczych jest również ściśle powiązany z Artykułem 9 (system zarządzania ryzykiem) i Artykułami 15 i 17 (dokładność, solidność i zarządzanie jakością), ponieważ adekwatność tych systemów określi, czy niezgodność zostanie wykryta i usunięta w odpowiednim czasie. Artykuł 26 nakłada komplementarny obowiązek na podmioty stosujące do zgłaszania podejrzewanych niezgodności dostawcom, co czyni podmioty stosujące ważnym strumieniowym źródłem informacji zasilającym wyzwalacz Artykułu 20. Wreszcie Artykuł 21 dotyczy obowiązków współpracy dostawców po formalnej interwencji organów i należy go traktować jako odpowiednik w zakresie egzekwowania regulacyjnego dla dobrowolnego obowiązku działań naprawczych na podstawie Artykułu 20.

Harmonogram zgodności

Rozporządzenie UE w sprawie AI weszło w życie 1 sierpnia 2024 r. (dwadzieścia dni po publikacji w Dzienniku Urzędowym 12 lipca 2024 r.). Artykuł 20 wchodzi w zakres Tytułu III, Rozdziału 3 i ma zastosowanie do systemów AI wysokiego ryzyka. Harmonogram etapowego stosowania jest następujący:

Luty 2025: Przepisy dotyczące zakazanych praktyk w zakresie AI (Tytuł II) stały się stosowane.
Sierpień 2025: Zasady dotyczące modeli AI ogólnego przeznaczenia (Tytuł VIII, Rozdział 2) stały się stosowane.
Sierpień 2026: Obowiązki dla systemów AI wysokiego ryzyka wymienionych w Załączniku III stosowanych przez organy publiczne stały się stosowane.
Grudzień 2026 (główny termin wysokiego ryzyka): Pełen zestaw obowiązków Tytułu III — w tym Artykuł 20 — stał się stosowany wobec dostawców systemów AI wysokiego ryzyka objętych Załącznikiem III. Dostawcy, których systemy były już na rynku przed tą datą, korzystali z okresu przejściowego, ale muszą teraz w pełni przestrzegać przepisów.
Sierpień 2027: Przedłużony termin dla niektórych systemów AI wysokiego ryzyka, które są składnikami wielkoskalowych systemów informatycznych UE lub podlegają normom zharmonizowanym, które nie zostały jeszcze opublikowane w momencie wejścia w życie.

Dla większości dostawców systemów AI wysokiego ryzyka z Załącznika III Artykuł 20 jest w pełni stosowany od grudnia 2026 r., a procesy działań naprawczych i informacyjnych powinny już być operacyjne.

Official AI Act Compliance Deadline Calendar

Updated 2026-06-23 · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation	Applies to	Original date	New date	Status	Countdown	Legal basis
Prohibited Practices (Art. 5)	All providers and deployers	2 February 2025	2 February 2025	active	—	AI Act Art. 5
GPAI Rules (Chapter 5)	GPAI model providers	2 August 2025	2 August 2025	active	—	AI Act Art. 51-56
High-risk AI — Annex III (standalone)	Providers of standalone Annex III systems	2 August 2026	2 December 2027	deferred	—	AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded)	AI embedded in Annex I regulated products	2 August 2026	2 August 2028	deferred	—	AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking	Providers of generative GPAI systems	2 August 2025	2 August 2025	active	—	AI Act Art. 50(2)
Regulatory Sandboxes	National competent authorities	2 August 2026	2 August 2026	active	—	AI Act Art. 57

⬇ Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

Co uruchamia obowiązek podjęcia działań naprawczych na podstawie Artykułu 20?

Artykuł 20 jest uruchamiany, gdy dostawca ma podstawy, by sądzić, że wysokiego ryzyka system AI, który wprowadził do obrotu lub oddał do użytku, nie jest już zgodny z wymaganiami Rozdziału 2 Tytułu III. Obejmuje to sytuacje, gdy niezgodność zostanie zidentyfikowana przez samego dostawcę, zgłoszona przez podmiot stosujący lub wykryta w ramach działań dotyczących monitorowania po wprowadzeniu do obrotu.

Kogo dostawcy muszą powiadamiać na podstawie Artykułu 20?

Dostawcy muszą powiadamiać właściwe krajowe organy nadzoru rynku państw członkowskich, w których udostępnili system, a także jednostki notyfikowane zaangażowane w ocenę zgodności, dystrybutorów i podmioty stosujące dany system AI wysokiego ryzyka. Powiadomienie musi obejmować zarówno zidentyfikowaną niezgodność, jak i wszelkie podjęte działania naprawcze.

Czy Artykuł 20 ma zastosowanie do podmiotów stosujących, a nie tylko dostawców?

Artykuł 20 nakłada podstawowy obowiązek na dostawców. Jednak podmioty stosujące mają komplementarny obowiązek na podstawie Artykułu 26 do informowania dostawców, gdy mają podstawy, by sądzić, że korzystanie z systemu AI wysokiego ryzyka stwarza ryzyko lub że system nie jest już zgodny. Artykuł 20 i Artykuł 26 działają zatem w parze w całym łańcuchu dostaw.

Jakie działania naprawcze może być zobowiązany podjąć dostawca na podstawie Artykułu 20?

Działania naprawcze obejmują przywrócenie systemu AI do zgodności, wycofanie go z rynku, odwołanie go od podmiotów stosujących i użytkowników oraz wyłączenie dostępu do systemu, jeżeli jest to technicznie wykonalne. Odpowiednie działanie zależy od charakteru i wagi niezgodności oraz ryzyka dla zdrowia, bezpieczeństwa lub praw podstawowych.

Jak Artykuł 20 odnosi się do obowiązku zgłaszania poważnych incydentów?

Artykuł 20 dotyczy strukturalnej niezgodności z wymaganiami Rozdziału 2, podczas gdy Artykuł 73 reguluje konkretnie zgłaszanie poważnych incydentów. W praktyce poważny incydent może ujawnić systemową niezgodność, która jednocześnie uruchamia obowiązek działań naprawczych wynikający z Artykułu 20. Dostawcy muszą zarządzać obydwoma obowiązkami równolegle, gdy fakty tego wymagają.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.