Artykuł 21 — Współpraca z właściwymi organami (rozporządzenie UE o AI)

Artykuł 21 rozporządzenia (UE) 2024/1689 — Współpraca z właściwymi organami. Oficjalny tekst, praktyczna interpretacja, kluczowe obowiązki i implikacje dla zgodności.

Streszczenie tekstu oficjalnego

Artykuł 21 rozporządzenia (UE) 2024/1689 (rozporządzenia UE o AI) ustanawia ogólny obowiązek dla dostawców systemów AI wysokiego ryzyka do współpracy z właściwymi organami krajowymi na żądanie. Na mocy tego przepisu dostawcy — a tam, gdzie ma to zastosowanie, ich upoważnieni przedstawiciele — muszą dostarczać właściwym organom wszelkich informacji i dokumentacji niezbędnych do wykazania, że dany system AI wysokiego ryzyka spełnia wymogi określone w Rozdziale 2 Tytułu III. Ten obowiązek współpracy rozciąga się na przyznanie dostępu do samego systemu AI w przypadkach, gdy właściwy organ uzna taki dostęp za niezbędny do wypełnienia swoich obowiązków nadzorczych lub w zakresie nadzoru rynku.

Artykuł funkcjonuje w szerszych ramach nadzoru rynku rozporządzenia i należy go czytać w powiązaniu z uprawnieniami egzekucyjnymi przyznanymi organom krajowym na mocy Tytułu X. Nie tworzy on proaktywnego obowiązku ujawniania informacji w zwykłym toku działalności; aktywuje się raczej na podstawie formalnego lub nieformalnego wniosku organu nadzorczego. Obowiązek ten jest bezwarunkowy pod względem zakresu: dostawcy nie mogą odmówić współpracy powołując się na poufność handlową, tajemnicę przedsiębiorstwa lub interes własny, choć rozporządzenie przewiduje odrębne zabezpieczenia dotyczące postępowania organów z informacjami poufnymi. Artykuł 21 skutecznie funkcjonuje jako pomost między obowiązkami zgodności nałożonymi na dostawców a zdolnością egzekucyjną infrastruktury regulacyjnej ustanowionej przez państwa członkowskie i Europejski Urząd ds. AI.

Co oznacza to w praktyce

Dla dostawców systemów AI wysokiego ryzyka Artykuł 21 wymaga utrzymywania ustrukturyzowanej, gotowej do audytu postawy zgodności przez cały czas — nie tylko w momencie oceny zgodności. Gdy krajowy organ nadzoru rynku, jednostka notyfikowana działająca na podstawie delegacji lub Europejski Urząd ds. AI wszczyna dochodzenie, dostawca musi być w stanie szybko odpowiedzieć, dostarczając kompleksową dokumentację techniczną, wyniki oceny zgodności, rejestry zarządzania ryzykiem i dane z monitorowania po wprowadzeniu do obrotu.

Kogo dotyczy. Dostawcy wprowadzający na rynek UE systemy AI wysokiego ryzyka (wymienione w Załączniku III lub objęte przepisami sektorowymi Załącznika I) są głównymi podmiotami zobowiązanymi. Upoważnieni przedstawiciele działający w imieniu dostawców z państw trzecich ponoszą ten sam obowiązek w ramach swojego mandatu. Podmioty stosujące nie są głównymi adresatami Artykułu 21, ale mogą zostać włączone do procedur współpracy, gdy organ wymaga ich danych operacyjnych lub dostępu do wdrożonego systemu.

Konkretne przykłady. Producent wyrobów medycznych integrujący narzędzie diagnostyczne oparte na AI musi na żądanie przekazać pełną dokumentację techniczną, w tym opisy danych treningowych, protokoły walidacji i dzienniki monitorowania po wdrożeniu. Rekruter wdrażający wspomagane przez AI narzędzie do przesiewania CV, sklasyfikowane jako wysokiego ryzyka na mocy Załącznika III, musi umożliwić organowi dostęp do logiki decyzyjnej i parametrów konfiguracyjnych systemu w przypadku wszczęcia dochodzenia.

Przygotowanie operacyjne. Organizacje powinny wyznaczyć funkcję łącznika ds. regulacyjnych, utrzymywać kontrolowaną wersjonowo dokumentację techniczną oraz ustanowić wewnętrzny protokół dla wniosków organów, w tym harmonogramy przeglądu prawnego, które nie utrudniają terminowej współpracy.

Kluczowe obowiązki

Dostarczanie dokumentacji na żądanie. Dostawcy muszą dostarczać właściwym organom wszelkich informacji i dokumentacji technicznej niezbędnych do oceny zgodności z Rozdziałem 2 Tytułu III, w tym dokumentacji technicznej wymaganej na mocy Artykułu 11 i dzienników prowadzonych na mocy Artykułu 12.
Przyznanie dostępu do systemu AI. Gdy właściwy organ stwierdzi, że kontrola lub interakcja z systemem AI jest konieczna, dostawcy muszą ułatwić taki dostęp bez zbędnej zwłoki lub utrudnień.
Współpraca za pośrednictwem upoważnionych przedstawicieli. Dostawcy z państw trzecich muszą zapewnić, że ich upoważniony przedstawiciel mający siedzibę w UE jest uprawniony do pełnego wypełniania obowiązków współpracy w ich imieniu, zgodnie z wymogami Artykułu 22.
Przechowywanie informacji w formie możliwej do pobrania. Praktyczna użyteczność Artykułu 21 zależy od tego, czy dokumentacja jest aktualna, dokładna i możliwa do pobrania. Dostawcy nie mogą pozwolić na to, aby rejestry techniczne stały się przestarzałe lub niedostępne w momencie otrzymania wniosku.
Powstrzymanie się od utrudniania. Każde działanie lub zaniechanie, które utrudnia, opóźnia lub frustruje dochodzenie nadzorcze — w tym selektywne ujawnianie, niszczenie rejestrów lub zatrzymywanie danych dostępowych — stanowi naruszenie Artykułu 21 i może uruchomić sankcje na mocy Artykułu 99.
Rozszerzenie współpracy na działania w zakresie nadzoru pomarketingowego. Współpraca w ramach Artykułu 21 nie ogranicza się do kontroli zgodności przed wprowadzeniem do obrotu; obejmuje bieżący nadzór przez cały cykl życia systemu AI wysokiego ryzyka.

Związek z innymi artykułami

Artykuł 21 leży na styku obowiązków dostawców i egzekwowania przepisów i nie może być czytany w oderwaniu od kontekstu. Zależy bezpośrednio od Artykułu 11 (dokumentacja techniczna) i Artykułu 12 (przechowywanie rejestrów i logowanie), ponieważ te przepisy definiują zbiór informacji, które dostawca musi być w stanie dostarczyć. Łączy się z Artykułem 17 (system zarządzania jakością), który reguluje procesy organizacyjne leżące u podstaw gotowości dokumentacyjnej. Artykuł 22 (upoważnieni przedstawiciele) operacjonalizuje Artykuł 21 dla dostawców z państw trzecich, wskazując, kto ponosi obowiązki współpracy w UE. Po stronie egzekwowania Artykuł 21 zasila reżim nadzoru rynku Tytułu X (Artykuły 74–76), uprawnienia Europejskiego Urzędu ds. AI na mocy Tytułu VIII oraz ramy sankcji Artykułu 99, który wiąże sankcje z brakiem współpracy. Artykuł 9 (zarządzanie ryzykiem) jest również istotny, ponieważ organy mogą badać, czy rejestry identyfikacji i ograniczania ryzyka są odpowiednie. Czytanie Artykułu 21 razem z Artykułami 13 (przejrzystość) i 14 (nadzór ludzki) daje pełny obraz środowiska informacyjnego, które dostawcy muszą utrzymywać.

Harmonogram zgodności

Rozporządzenie UE o AI weszło w życie 1 sierpnia 2024 r., dwadzieścia dni po publikacji w Dzienniku Urzędowym. Jego przepisy stosuje się według harmonogramu fazowego:

2 lutego 2025 r. — Zakazy dotyczące praktyk AI o niedopuszczalnym ryzyku (Tytuł II) stały się stosowalne. Sam Artykuł 21 nie był jeszcze w mocy dla systemów wysokiego ryzyka.
2 sierpnia 2025 r. — Przepisy dotyczące modeli AI ogólnego przeznaczenia (Tytuł VIII) i obowiązki Europejskiego Urzędu ds. AI stały się stosowalne.
2 sierpnia 2026 r. — Artykuł 21, wraz z pełnym zestawem obowiązków Tytułu III dla systemów AI wysokiego ryzyka wymienionych w Załączniku III (innych niż objęte wcześniejszym prawem sektorowym), staje się stosowalne. Dostawcy, których systemy należą do tej kategorii, muszą być w pełni gotowi do współpracy do tej daty.
2 sierpnia 2027 r. — Systemy AI wysokiego ryzyka regulowane przez unijne przepisy harmonizacyjne wymienione w Załączniku I (np. wyroby medyczne, maszyny, lotnictwo), które są już objęte procedurami oceny zgodności, mają czas do tej daty, zanim pełne obowiązki dotyczące AI wysokiego ryzyka, w tym Artykuł 21, zaczną obowiązywać w odniesieniu do istniejących produktów.

Dostawcy powinni traktować okres poprzedzający ich odpowiednią datę nie jako okres karencji, lecz jako czas wdrożenia: dokumentacja techniczna, infrastruktura logowania i wewnętrzne protokoły współpracy powinny być operacyjne na długo przed terminem.

Official AI Act Compliance Deadline Calendar

Updated 2026-06-23 · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation	Applies to	Original date	New date	Status	Countdown	Legal basis
Prohibited Practices (Art. 5)	All providers and deployers	2 February 2025	2 February 2025	active	—	AI Act Art. 5
GPAI Rules (Chapter 5)	GPAI model providers	2 August 2025	2 August 2025	active	—	AI Act Art. 51-56
High-risk AI — Annex III (standalone)	Providers of standalone Annex III systems	2 August 2026	2 December 2027	deferred	—	AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded)	AI embedded in Annex I regulated products	2 August 2026	2 August 2028	deferred	—	AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking	Providers of generative GPAI systems	2 August 2025	2 August 2025	active	—	AI Act Art. 50(2)
Regulatory Sandboxes	National competent authorities	2 August 2026	2 August 2026	active	—	AI Act Art. 57

⬇ Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

Kto jest zobowiązany do współpracy z właściwymi organami na podstawie Artykułu 21?

Artykuł 21 ma zastosowanie przede wszystkim do dostawców systemów AI wysokiego ryzyka, a także do ich upoważnionych przedstawicieli mających siedzibę w UE. Podmioty stosujące mogą również podlegać obowiązkom współpracy, gdy właściwe organy wymagają informacji lub dostępu związanego z wdrożonym systemem AI wysokiego ryzyka.

Co w praktyce oznacza współpraca z właściwymi organami?

Dostawcy muszą dostarczać właściwym organom wszelkich żądanych informacji i dokumentacji w celu wykazania zgodności z wymogami Tytułu III, Rozdziału 2. Obejmuje to dostęp do dokumentacji technicznej, dzienników i wyników testów. Współpraca musi być terminowa i pełna — zatajanie istotnych informacji lub utrudnianie dochodzenia stanowi naruszenie Artykułu 21.

Czy Artykuł 21 ma zastosowanie do systemów AI już obecnych na rynku przed wejściem w życie rozporządzenia?

Systemy AI wysokiego ryzyka wprowadzone do obrotu lub oddane do użytku przed odpowiednimi datami stosowania mogą korzystać z przepisów przejściowych, ale po upływie tych okresów obowiązują pełne zobowiązania do współpracy. Dostawcy nie powinni zakładać, że starsze systemy są zwolnione z kontroli nadzorczej.

Czy właściwy organ może zażądać dostępu do samego systemu AI, a nie tylko do dokumentacji?

Tak. Artykuł 21 jest wystarczająco szeroki, aby obejmować żądania dostępu do systemu AI, jego komponentów i środowiska operacyjnego, jeżeli jest to niezbędne dla organu do wykonania jego mandatu nadzorczego. Dostawcy powinni być przygotowani zarówno na dokumentalne, jak i techniczne formy współpracy.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.