Článok 19 — Automaticky generované záznamy (Zákon EÚ o AI)

Článok 19 nariadenia (EÚ) 2024/1689 — Automaticky generované záznamy. Oficiálny text, praktický výklad, kľúčové povinnosti a dôsledky pre súlad s predpismi.

Zhrnutie Oficiálneho Textu

Článok 19 nariadenia (EÚ) 2024/1689 stanovuje povinnosť zaznamenávania, ktorá funguje na dvoch úrovniach: povinnosť pri navrhovaní pre poskytovateľov a prevádzková povinnosť pre prevádzkovateľov.

Na strane poskytovateľa článok 19 ods. 1 vyžaduje, aby systémy AI s vysokým rizikom boli technicky schopné automaticky generovať záznamy o svojej prevádzke počas celej doby svojej životnosti. Poskytovatelia musia zabudovať túto schopnosť do systému v rozsahu technicky uskutočniteľnom, čím zabezpečia, že udalosti môžu byť zaznamenávané bez manuálneho zásahu. Toto priamo súvisí so širším rámcom transparentnosti a sledovateľnosti hlavy III.

Na strane prevádzkovateľa článok 19 ods. 2 vyžaduje, aby prevádzkovatelia uchovávali záznamy automaticky generované systémami AI s vysokým rizikom, ktoré prevádzkujú. Minimálna doba uchovávania je šesť mesiacov, pokiaľ právo Únie alebo uplatniteľné právo členského štátu nepredpisuje dlhšie obdobie. Odvetvové predpisy — napríklad v oblasti financií, zdravotnej starostlivosti alebo kritickej infraštruktúry — budú toto predvolené minimum často nahrádzať.

Záznamy, ktoré predpokladá článok 19, slúžia viacerým účelom súladu: podporujú monitorovanie po uvedení na trh podľa článku 72, uľahčujú hlásenie incidentov podľa článku 73 a poskytujú dôkazný základ, ktorý potrebujú národné príslušné orgány pri vykonávaní trhového dohľadu podľa kapitoly VI. Článok sám nepredpisuje presný technický formát ani granularitu záznamov, pričom tieto podrobnosti ponecháva na harmonizované normy a požiadavky technickej dokumentácie článku 11 a prílohy IV.

Čo To Znamená v Praxi

Pre organizácie, ktoré prevádzkujú systémy AI s vysokým rizikom, článok 19 zavádza konkrétnu povinnosť uchovávania údajov, ktorá musí byť zabudovaná do prevádzkových procesov od prvého dňa nasadenia.

Prevádzkovatelia musia najprv overiť, že systém AI, ktorý používajú, je technicky schopný automaticky generovať záznamy. Ak poskytovateľ dodá systém, ktorému chýba táto schopnosť tam, kde je technicky uskutočniteľná, poskytovateľ porušuje vlastné povinnosti — ale prevádzkovateľ stále nesie zodpovednosť za vykonanie primeranej hĺbkovej kontroly pred nasadením, ako to vyžaduje článok 26.

V praxi to znamená, že prevádzkovatelia by mali od poskytovateľov žiadať jasnú dokumentáciu potvrdzujúcu prítomnosť funkcie zaznamenávania, popisujúcu, ktoré udalosti sa zaznamenávajú, a uvádzajúcu formát záznamu. Táto dokumentácia by mala tvoriť súčasť zmluvných dojednaní medzi poskytovateľom a prevádzkovateľom.

Po spustení musia prevádzkovatelia implementovať politiku uchovávania záznamov, ktorá pokrýva najmenej šesť mesiacov. Pre organizácie pôsobiace v regulovaných odvetviach sa táto základná hodnota takmer vždy predĺži: nemocnica, ktorá nasadzuje nástroj diagnostiky asistovanej AI, bude musieť zosúladiť uchovávanie záznamov s právnymi predpismi o zdravotnej dokumentácii; banka nasadzujúca systém kreditného scorovania AI musí zohľadniť pravidlá vedenia záznamu o finančných službách, ktoré často vyžadujú niekoľkoročné uchovávanie.

Konkrétne prevádzkové kroky zahŕňajú: určenie zodpovednosti za ukladanie záznamov a kontroly prístupu, zabezpečenie, že záznamy sú chránené pred manipuláciou a bezpečne uložené, zavedenie procesov na rýchle získanie záznamov v reakcii na regulačnú žiadosť alebo vyšetrovanie incidentu, a zdokumentovanie politiky uchovávania v rámci širšieho rámca správy AI organizácie.

Záznamy by mali zachytávať dostatočné informácie na rekonštrukciu vstupov poskytnutých systému, generovaných výstupov, verzie modelu v používaní a načasovania operácií — čo umožňuje zmysluplné následné preskúmanie.

Kľúčové Povinnosti

• Poskytovatelia musia navrhovať a budovať systémy AI s vysokým rizikom tak, aby boli technicky schopné automaticky generovať záznamy o svojej prevádzke, v rozsahu technicky uskutočniteľnom, po celú dobu prevádzkovej životnosti systému.
• Prevádzkovatelia musia uchovávať automaticky generované záznamy produkované systémami AI s vysokým rizikom, ktoré prevádzkujú, minimálne šesť mesiacov od dátumu ich generovania, alebo dlhšie, ak to vyžaduje uplatniteľné právo Únie alebo členského štátu.
• Prevádzkovatelia musia zabezpečiť, že uchovávané záznamy sú prístupné, bezpečné a môžu byť na požiadanie poskytnuté národným príslušným orgánom počas trhového dohľadu alebo vyšetrovaní incidentov.
• Poskytovatelia musia zdokumentovať schopnosť zaznamenávania svojho systému — vrátane toho, čo sa zaznamenáva, formátu záznamu a akýchkoľvek známych technických obmedzení — ako súčasť technickej dokumentácie vyžadovanej podľa článku 11 a prílohy IV.
• Tam, kde odvetvové predpisy ukladajú prísnejšie alebo dlhšie požiadavky na uchovávanie, musia prevádzkovatelia tieto požiadavky uplatňovať popri šesťmesačnom základe a namiesto neho.
• Prevádzkovatelia musia zabezpečiť, že infraštruktúra zaznamenávania je udržiavaná počas celého obdobia používania systému AI s vysokým rizikom a že integrita záznamov je chránená pred manipuláciou alebo neúmyselným vymazaním.

Vzťah k Iným Článkom

Článok 19 sa nachádza v kapitole 3 hlavy III a musí sa čítať ako súčasť integrovaného rámca sledovateľnosti, nie ako izolovaná povinnosť.

Priamo sa spája s článkom 12 (Vedenie záznamov), ktorý vyžaduje, aby systémy AI s vysokým rizikom boli navrhnuté tak, aby umožňovali vedenie záznamov o ich prevádzke, a s článkom 11 a prílohou IV, ktoré špecifikujú, akú technickú dokumentáciu musia poskytovatelia viesť, vrátane opisov schopnosti zaznamenávania.

Článok 19 napája článok 72 (Monitorovanie po uvedení na trh), ktorý vyžaduje, aby poskytovatelia aktívne monitorovali výkon systému v teréne — záznamy sú primárnym zdrojom údajov pre toto monitorovanie. Taktiež podopiera článok 73 (Hlásenie závažných incidentov), kde záznamy poskytujú dôkazný základ pre pochopenie toho, čo sa stalo počas incidentu.

Záznamy uchovávané podľa článku 19 patria medzi záznamy, ktoré môžu národné príslušné orgány požadovať pri výkone svojich právomocí trhového dohľadu podľa článkov 74 a 75. Napokon, rozdelenie zodpovedností medzi poskytovateľmi a prevádzkovateľmi, ako je uvedené v článku 19, odráža širší rámec stanovený článkom 25 (Zodpovednosti v hodnotovom reťazci) a článkom 26 (Povinnosti prevádzkovateľov).

Časový Plán Súladu

Zákon EÚ o AI nadobudol účinnosť 1. augusta 2024 a inicioval etapový harmonogram uplatňovania.

Článok 19 patrí do hlavy III, kapitoly 3, ktorá upravuje povinnosti poskytovateľov a prevádzkovateľov systémov AI s vysokým rizikom. Všeobecný dátum uplatňovania povinností pre systémy AI s vysokým rizikom — vrátane článku 19 — je 2. august 2026 pre systémy uvedené v prílohe III (aplikácie s vysokým rizikom v oblastiach ako vzdelávanie, zamestnanosť, základné služby a presadzovanie práva). Pre systémy AI s vysokým rizikom, na ktoré sa vzťahuje príloha I (bezpečnostné komponenty výrobkov regulovaných existujúcimi harmonizačnými právnymi predpismi Únie), sa povinnosti uplatňujú od 2. augusta 2027, v súlade s obnovením alebo prvým vydaním príslušných posúdení zhody výrobkov.

Skoršie míľniky uplatňovania zahŕňajú zákaz neprijateľných praktík AI (článok 5), ktorý sa uplatňoval od 2. februára 2025, a povinnosti týkajúce sa modelov AI na všeobecné účely (hlava VII), ktoré sa uplatňovali od 2. augusta 2025.

Organizácie prevádzkujúce systémy AI s vysokým rizikom by mali dátum 2. augusta 2026 považovať za tvrdý termín súladu pre povinnosti podľa článku 19, ale mali by s dostatočným predstihom začať navrhovať politiky uchovávania záznamov, prehodnocovať zmluvy s poskytovateľmi a zosúlaďovať sa s odvetvovými predpismi o uchovávaní — zložitosť podnikovej správy údajov robí súlad na poslednú chvíľu štrukturálne náročným.