Článok 17 nariadenia (EÚ) 2024/1689 — Systém riadenia kvality. Oficiálny text, praktická interpretácia, kľúčové povinnosti a dôsledky pre súlad s predpismi.
Zhrnutie oficiálneho textu
Článok 17 nariadenia (EÚ) 2024/1689 vyžaduje, aby poskytovatelia vysokorizikových systémov AI zaviedli systém riadenia kvality (SRK) pred uvedením takýchto systémov na trh alebo ich uvedením do prevádzky. SRK musí byť dokumentovaný systematickým a usporiadaným spôsobom a musí zahŕňať všetky fázy životného cyklu systému AI.
Nariadenie špecifikuje, že SRK musí riešiť minimálne: stratégiu poskytovateľa pre regulačný súlad vrátane postupov posudzovania zhody; techniky, postupy a systematické opatrenia používané pri navrhovaní, kontrole návrhu a overovaní systému AI; postupy správy údajov zahŕňajúce získavanie, zhromažďovanie, analýzu, označovanie, ukladanie, filtrovanie, ťažbu, agregáciu a uchovávanie údajov; systém riadenia rizík podľa Článku 9; zriadenie a implementáciu systému postdistribučného monitorovania v súlade s Článkom 72; postupy hlásenia incidentov v súlade s Článkom 73; riadenie komunikácie s príslušnými orgánmi, notifikovanými osobami a inými relevantnými prevádzkovateľmi; systémy a postupy vedenia záznamov; správu zdrojov vrátane opatrení súvisiacich s dodávateľským reťazcom; a rámec zodpovednosti dokumentujúci zodpovednosti v celej organizácii.
Ak sú poskytovatelia fyzickými osobami alebo mikropodnikmi podľa vymedzenia v odporúčaní Komisie 2003/361/ES, Komisia je splnomocnená prijímať vykonávacie akty umožňujúce zjednodušené opatrenia SRK, pričom uznáva zásadu proporcionality, ktorá preniká nariadením.
Čo to znamená v praxi
Pre každú organizáciu, ktorá vyvíja alebo uvádza na trh EÚ vysokorizikový systém AI, Článok 17 znamená, že súlad nemôže byť jednorazovým cvičením vykonávaným v momente vydania. Musí byť zakotvený v živom organizačnom systéme, ktorý riadi celý životný cyklus produktu — od počiatočných rozhodnutí o návrhu cez nasadenie, monitorovanie až po konečné vyradenie z prevádzky.
V konkrétnych termínoch musí byť poskytovateľ schopný preukázať, že zdokumentované postupy existujú a sú dodržiavané v každej fáze. Poskytovateľ AI pre zdravotnú starostlivosť napríklad nemôže jednoducho natrénovať model a predložiť ho na posudzovanie zhody. Organizácia musí preukázať, že získavanie údajov sa riadilo zdokumentovanými pravidlami správy, že návrhové rozhodnutia boli preskúmané voči kritériám rizika, že zodpovednosti za dohľad sú pridelené a zaznamenané, a že existuje mechanizmus na detekciu a hlásenie postedimplementačných incidentov.
Požiadavka na SRK znamená, že súlad je rovnako organizačnou a procedurálnou výzvou ako technickou. Spoločnosti, ktoré už fungujú podľa ISO 9001 alebo odvetvových rámcov riadenia — ako je ISO 13485 v oblasti zdravotníckeho zariadenia — nájdu výrazné prekrytia, ale stále budú musieť explicitne mapovať svoje existujúce systémy voči požiadavkám zákona o AI namiesto predpokladania ekvivalencie.
Menší poskytovatelia využívajú ustanovenie o proporcionalite: mikropodniky môžu spĺňať podmienky pre zjednodušené opatrenia podľa vykonávacích aktov vydaných Komisiou. To ich však neoslobodzuje od podkladových hmotnoprávnych povinností; môže to ovplyvniť iba formu, v akej sú tieto povinnosti dokumentované a riadené.
V praxi by poskytovatelia mali zaobchádzať so SRK ako s ústrednou chrbticou, z ktorej sú generované a riadené všetky ostatné artefakty súladu — technická dokumentácia, registre rizík, plány postdistribučného monitorovania, denníky incidentov.
Kľúčové povinnosti
- Zriadenie zdokumentovaného systému riadenia kvality pred uvedením vysokorizikového systému AI na trh alebo jeho uvedením do prevádzky, zahŕňajúceho všetky fázy životného cyklu.
- Integrácia postupov riadenia rizík vyžadovaných Článkom 9 do SRK, čím sa zabezpečí systematické a sledovateľné identifikovanie, hodnotenie a zmierňovanie rizík.
- Dokumentácia postupov správy údajov zahŕňajúcich získavanie, označovanie, spracovanie, ukladanie a uchovávanie v súlade s požiadavkami správy údajov z Článku 10.
- Uchovávanie technickej dokumentácie špecifikovanej v Článku 11 a Prílohe IV ako výstupu SRK, jej udržiavanie v aktuálnom stave a dostupnej pre účely posudzovania zhody a dohľadu nad trhom.
- Implementácia postupov postdistribučného monitorovania a hlásenia incidentov v rámci SRK v súlade s Článkami 72 a 73.
- Definovanie a dokumentácia štruktúr zodpovednosti, rolí a povinností v celej organizácii vrátane dohľadu nad dodávateľským reťazcom, kde komponenty tretích strán prispievajú k systému AI.
Vzťah k iným článkom
Článok 17 funguje ako organizačná chrbtica systému súladu pre vysokorizikové systémy AI zavedeného v Hlave III, Kapitole 3. Čerpá svoj hmotnoprávny obsah z viacerých vzájomne prepojených povinností: systém riadenia rizík z Článku 9, požiadavky na údaje a správu údajov z Článku 10 a systém technickej dokumentácie z Článku 11 priamo napájajú to, čo musí SRK zahŕňať a produkovať.
SRK musí tiež podporovať postupy posudzovania zhody v Článkoch 43 a 44, keďže dokumentácia, ktorú generuje, predstavuje primárny dôkaz preskúmavaný notifikovanými osobami alebo procesmi samohodnotenia. Postedimplementačné povinnosti podľa Článku 72 (postdistribučné monitorovanie) a Článku 73 (hlásenie závažných incidentov) musia byť zahrnuté v postupoch SRK, a nie riadené ako samostatné ad hoc činnosti.
Článok 26 ukladá prevádzkovateľom povinnosti, ktoré sú odlišné od, ale komplementárne k povinnostiam SRK poskytovateľov. Ak sa poskytovatelia a prevádzkovatelia prekrývajú — napríklad keď organizácia vyvíja aj interne nasadzuje vysokorizikový systém AI — SRK z Článku 17 sa musí čítať spolu s povinnosťami prevádzkovateľa z Článku 26, aby sa zabezpečilo úplné pokrytie.
Harmonogram súladu
Nariadenie EÚ o umelej inteligencii nadobudlo účinnosť 1. augusta 2024 po uverejnení v Úradnom vestníku Európskej únie. Uplatňovanie jeho ustanovení je postupné:
- Február 2025 — Zákazy týkajúce sa praktík AI s neprijateľným rizikom (Článok 5) sa stali uplatniteľnými.
- August 2025 — Povinnosti týkajúce sa modelov AI na všeobecné účely (Hlava VIII) sa stali uplatniteľnými.
- 2. august 2026 — Článok 17 sa stáva uplatniteľným pre poskytovateľov vysokorizikových systémov AI uvedených v Prílohe III (systémy v oblastiach ako biometria, kritická infraštruktúra, vzdelávanie, zamestnávanie, základné služby, presadzovanie práva, migrácia a správa spravodlivosti).
- 2. august 2027 — Článok 17 sa stáva uplatniteľným pre poskytovateľov vysokorizikových systémov AI upravených Prílohou I (komponenty AI v produktoch, ktoré už podliehajú harmonizačnej legislatíve Únie, ako sú zdravotnícke zariadenia, strojové zariadenia a letecké vybavenie).
Poskytovatelia, ktorých systémy sú na trhu už pred týmito dátumami, využívajú prechodné opatrenia podľa Článku 111, ktoré môžu odložiť úplné povinnosti súladu SRK za podmienok súvisiacich s výraznými zmenami a prebiehajúcimi cyklami posudzovania zhody. Organizácie by mali začať navrhovanie SRK a hodnotenia medzier s dostatočným predstihom pred príslušným termínom, aby umožnili internú validáciu, zapojenie notifikovaných osôb tam, kde je to potrebné, a iteratívne zdokonaľovanie pred uplatňovaním povinnosti.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Článok 17 ukladá povinnosť systému riadenia kvality výlučne poskytovateľom vysokorizikových systémov AI, ako sú vymedzení v Článku 6 a Prílohe III nariadenia (EÚ) 2024/1689. Prevádzkovatelia nepodliehajú tejto konkrétnej povinnosti, hoci nesú osobitné povinnosti podľa Článku 26.
SRK musí zahŕňať minimálne: stratégiu regulačného súladu, metodológie navrhovania a vývoja, postupy správy údajov, riadenie rizík podľa Článku 9, technickú dokumentáciu podľa Článku 11, vedenie záznamov a archivovanie, postdistribučné monitorovanie podľa Článku 72, povinnosti hlásenia incidentov a opatrenia ľudského dohľadu.
Článok 17 nestanovuje žiadnu konkrétnu certifikačnú normu. Súlad s uznávanými normami, ako je ISO 9001 alebo odvetvové ekvivalenty, však môže podporiť preukázanie zhody, najmä keď harmonizované normy podľa Článku 40 zahŕňajú požiadavky SRK.
SRK a technická dokumentácia sú úzko prepojené. SRK musí generovať a udržiavať technickú dokumentáciu vyžadovanú Článkom 11 a Prílohou IV, pričom samotná dokumentácia slúži ako primárny dôkaz správneho fungovania SRK počas posudzovania zhody.
Článok 17 sa vzťahuje na poskytovateľov vysokorizikových systémov AI uvedených v Prílohe III od 2. augusta 2026 a na poskytovateľov vysokorizikových systémov AI upravených Prílohou I (odvetvová harmonizačná legislatíva Únie) od 2. augusta 2027, s výhradou prechodných ustanovení v Článku 111.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.