Artykuł 34 Rozporządzenia (UE) 2024/1689 — Obowiązki operacyjne jednostek notyfikowanych. Oficjalny tekst, praktyczna interpretacja, kluczowe obowiązki i implikacje dla zgodności.
Podsumowanie tekstu oficjalnego
Artykuł 34 Rozporządzenia (UE) 2024/1689 określa obowiązki operacyjne, które jednostki notyfikowane muszą spełniać na bieżąco po wyznaczeniu. Artykuł zobowiązuje jednostki notyfikowane do przeprowadzania ocen zgodności zgodnie z procedurami określonymi w załączniku VII do Rozporządzenia, zapewniając spójność, bezstronność i rygor techniczny w całym procesie.
Jednostki notyfikowane są zobowiązane do utrzymywania udokumentowanych procedur obejmujących wszystkie prowadzone przez nie działania związane z oceną zgodności oraz udostępniania ich na żądanie organowi notyfikującemu. Muszą zatrudniać wystarczającą liczbę personelu posiadającego niezbędne kompetencje, kwalifikacje i doświadczenie właściwe dla konkretnych rodzajów systemów AI i dziedzin ryzyka, do których są wyznaczone.
Artykuł nakłada ścisły obowiązek zachowania poufności: jednostki notyfikowane i ich pracownicy muszą traktować wszystkie informacje uzyskane w toku działalności oceniającej jako poufne, z zastrzeżeniem obowiązków wobec właściwego organu krajowego. Konflikty interesów muszą być systematycznie identyfikowane, dokumentowane i unikane. Jednostki notyfikowane są zobowiązane do zawarcia i utrzymywania odpowiedniego ubezpieczenia odpowiedzialności zawodowej proporcjonalnego do ich działalności.
Gdy jednostka notyfikowana zleca na zewnątrz określone zadania oceniające lub korzysta z jednostki zależnej, pozostaje w pełni odpowiedzialna za jakość i wynik pracy. Podwykonawcy muszą spełniać te same wymagania co jednostka notyfikowana, a dostawca poddawany ocenie musi zostać poinformowany o wszelkich ustaleniach dotyczących podwykonawstwa przed ich realizacją.
Wreszcie jednostki notyfikowane muszą uczestniczyć w odpowiednich działaniach koordynacyjnych oraz współpracować z właściwymi organami, organami nadzoru rynku i innymi jednostkami notyfikowanymi w celu zapewnienia spójnego stosowania procedur oceny zgodności w całej Unii.
Co to oznacza w praktyce
Dla organizacji działających jako jednostki notyfikowane lub dążących do uzyskania takiego statusu artykuł 34 przekłada się na wymagające i ciągłe obciążenie związane ze zgodnością, a nie jednorazowe ćwiczenie wyznaczenia.
Dla jednostek notyfikowanych artykuł oznacza ustanowienie i utrzymanie solidnych wewnętrznych systemów zarządzania, które dokumentują każdy krok każdej oceny zgodności. Decyzje kadrowe muszą być podyktowane wykazanymi kompetencjami technicznymi w zakresie konkretnych dziedzin AI — na przykład jednostka notyfikowana wyznaczona dla medycznych systemów AI musi być w stanie wykazać, że jej oceniający rozumieją zarówno metodologię AI, jak i odpowiedni kontekst regulacyjny dotyczący wyrobów medycznych. Wykazy personelu, dokumentacja szkoleń i matryce kompetencji będą podlegać kontroli ze strony organu notyfikującego.
Polityki dotyczące konfliktów interesów muszą wykraczać poza zobowiązania na papierze. Jednostki notyfikowane muszą aktywnie sprawdzać powiązania między swoim personelem a dostawcami składającymi wnioski o ocenę oraz dokumentować wynik każdej kontroli. W przypadku wykrycia konfliktu, zaangażowany personel musi zostać wykluczony z danej oceny.
W kwestii podwykonawstwa wymagana jest praktyczna należyta staranność przed jakimkolwiek delegowaniem pracy: pisemne umowy, weryfikacja kompetencji i wcześniejsze powiadomienie dostawcy systemu AI. Jednostka notyfikowana nie może uchylić się od odpowiedzialności za zlecone na zewnątrz prace, jeśli ocena zostanie później uznana za wadliwą.
Dla dostawców systemów AI wysokiego ryzyka artykuł 34 stanowi w dużej mierze proceduralną informację tła — ale ma znaczenie przy wyborze jednostki notyfikowanej. Dostawcy powinni zweryfikować, czy kandydująca jednostka notyfikowana posiada aktualny zakres wyznaczenia obejmujący ich kategorię produktu, posiada odpowiednie ubezpieczenie i opublikowała przejrzyste procedury. Dostawcy zachowują również prawo do informowania o ustaleniach dotyczących podwykonawstwa i mogą uwzględnić to w planowaniu oceny.
Jednostki notyfikowane muszą również zasilać szerszą architekturę nadzoru UE, dzieląc się informacjami z Europejskim Biurem ds. Sztucznej Inteligencji i przyczyniając się do zharmonizowanych standardów oceny w miarę ich opracowywania.
Kluczowe obowiązki
- Procedury oceny zgodności: Jednostki notyfikowane muszą przeprowadzać wszystkie oceny zgodnie z procedurami określonymi w załączniku VII do Rozporządzenia, utrzymując udokumentowane procesy dla każdej działalności oceniającej.
- Kompetencje i obsada kadrowa: Wystarczająca liczba wykwalifikowanego personelu musi być dostępna przez cały czas, z wiedzą dopasowaną do konkretnego rodzaju i dziedziny ryzyka systemów AI, do których jednostka jest wyznaczona.
- Poufność: Wszystkie informacje uzyskane w toku działalności związanej z oceną zgodności muszą być zachowane w tajemnicy, z wyjątkiem przypadków, gdy ujawnienie jest wymagane przez właściwy organ krajowy lub prawo Unii.
- Zarządzanie konfliktami interesów: Jednostki notyfikowane muszą systematycznie identyfikować i wykluczać konflikty interesów, dokumentując proces weryfikacji dla każdej oceny i zapewniając bezstronność na każdym etapie.
- Ubezpieczenie odpowiedzialności zawodowej: Odpowiednie ubezpieczenie musi być utrzymywane na bieżąco w celu pokrycia działalności jednostki notyfikowanej w zakresie oceny zgodności, zapewniając możliwość dochodzenia roszczeń w przypadku błędnej lub wadliwej oceny.
- Podwykonawstwo i korzystanie z jednostek zależnych: W przypadku zlecania zadań na zewnątrz lub delegowania ich do jednostki zależnej, jednostka notyfikowana pozostaje w pełni odpowiedzialna, musi weryfikować kompetencje podwykonawcy według tych samych standardów i musi poinformować dostawcę przed rozpoczęciem podwykonawstwa.
Związek z innymi artykułami
Artykuł 34 znajduje się w Tytule III, Rozdział 4 (Artykuły 28–39), który reguluje pełny cykl życia jednostek notyfikowanych — od wyznaczenia przez monitorowanie po cofnięcie. Bezpośrednio opiera się na artykule 33, który określa merytoryczne wymagania, jakie jednostka musi spełnić, aby kwalifikować się do wyznaczenia, i powinien być czytany razem z artykułem 35, który reguluje procedurę oceny zgodności dla systemów AI wysokiego ryzyka w sektorach objętych regulacjami bezpieczeństwa produktów wymienionych w załączniku II.
Artykuł 43 (Ocena zgodności) określa, kiedy wymagane jest zaangażowanie jednostki notyfikowanej jako strony trzeciej, a kiedy dostawca może dokonać samooceny, co stanowi niezbędny kontekst dla zrozumienia zakresu obowiązków wynikających z artykułu 34. Artykuł 44 dotyczy certyfikatów wydawanych po ocenie, natomiast artykuł 45 reguluje obowiązki jednostek notyfikowanych w odniesieniu do tych certyfikatów po ich wydaniu, w tym zawieszanie i cofanie.
Szersza odpowiedzialność nadzorcza łączy artykuł 34 z artykułem 70 (Poufność) i artykułami 74–77 regulującymi organy nadzoru rynku, ponieważ jednostki notyfikowane muszą współpracować z działaniami nadzoru i na żądanie dostarczać informacji właściwym organom.
Harmonogram zgodności
Rozporządzenie (UE) 2024/1689 weszło w życie 1 sierpnia 2024 r., z etapowym stosowaniem w kilku terminach.
Artykuł 34 wchodzi w zakres ram regulujących systemy AI wysokiego ryzyka podlegające ocenie zgodności przez stronę trzecią. Odpowiednie etapowe daty stosowania to:
- 1 sierpnia 2024 r. — Wejście w życie. Rozporządzenie stało się wiążącym prawem Unii; państwa członkowskie rozpoczęły prace przygotowawcze nad strukturami organów notyfikujących.
- Luty 2025 r. — Zakazane praktyki AI (Art. 5) stały się obowiązujące. Obowiązki jednostek notyfikowanych nie były jeszcze aktywne dla większości kategorii wysokiego ryzyka.
- Sierpień 2025 r. — Obowiązki dotyczące modeli GPAI stały się obowiązujące. Przepisy dotyczące jednostek notyfikowanych pozostawały w fazie przygotowawczej dla systemów wysokiego ryzyka.
- 2 sierpnia 2026 r. — Pełne stosowanie przepisów Tytułu III, w tym artykułu 34, dla systemów AI wysokiego ryzyka wymienionych w załączniku III. Jednostki notyfikowane muszą być operacyjnie zgodne, a wyznaczone krajowe organy notyfikujące muszą być w pełni funkcjonalne w tym dniu.
- 2 sierpnia 2027 r. — Przedłużony termin dla systemów AI wysokiego ryzyka objętych istniejącym harmonizacyjnym ustawodawstwem Unii wymienionym w załączniku II, gdzie te systemy są wprowadzane na rynek lub oddawane do użytku przed sierpniem 2026 r.
Organizacje ubiegające się o wyznaczenie jako jednostki notyfikowane powinny były rozpocząć proces składania wniosków z odpowiednim wyprzedzeniem przed sierpniem 2026 r., biorąc pod uwagę, że procedury wyznaczania wymagają oceny przez krajowy organ notyfikujący i, w stosownych przypadkach, wzajemnej weryfikacji z udziałem Komisji Europejskiej i innych państw członkowskich.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Jednostki notyfikowane muszą przeprowadzać oceny zgodności zgodnie z procedurami określonymi w załączniku VII, utrzymywać wystarczającą liczbę wykwalifikowanego personelu, chronić informacje poufne, posiadać ubezpieczenie odpowiedzialności zawodowej i unikać konfliktów interesów. Muszą również współpracować z krajowymi właściwymi organami i innymi jednostkami notyfikowanymi.
Tak, ale tylko pod ściśle określonymi warunkami. Jednostka notyfikowana może zlecać na zewnątrz określone działania związane z oceną zgodności lub korzystać z jednostki zależnej, pod warunkiem że poinformuje dostawcę, zweryfikuje kompetencje podwykonawcy, zachowa pełną odpowiedzialność za wykonaną pracę i zapewni, że podwykonawca spełnia te same wymagania co sama jednostka notyfikowana.
Artykuł 34 wymaga od jednostek notyfikowanych posiadania odpowiedniego ubezpieczenia odpowiedzialności zawodowej. Ma to na celu zapewnienie dostawcom i poszkodowanym stronom możliwości dochodzenia roszczeń, gdy wadliwa ocena przyczyniła się do szkody lub niezgodności. Jednostka notyfikowana ma również stałe obowiązki monitorowania wydanych certyfikatów oraz, w razie potrzeby, ich cofania, zawieszania lub nakładania na nie warunków.
Krajowy organ notyfikujący, który wyznaczył jednostkę notyfikowaną, zachowuje stałą odpowiedzialność nadzorczą. Jednostki notyfikowane muszą na żądanie dostarczać wszelkich istotnych informacji, współpracować z działaniami nadzoru rynku oraz uczestniczyć w działaniach koordynacyjnych organizowanych przez Europejskie Biuro ds. Sztucznej Inteligencji i grupy robocze jednostek notyfikowanych.
Artykuł 34 ma zastosowanie szczególnie w kontekście procedur oceny zgodności dla systemów AI wysokiego ryzyka wymienionych w załączniku III oraz, w stosownych przypadkach, w załączniku II. Tylko systemy AI wysokiego ryzyka wymagają oceny zgodności przez stronę trzecią (jednostkę notyfikowaną); dostawcy innych systemów AI samodzielnie certyfikują zgodność i nie podlegają udziałowi jednostek notyfikowanych.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.