Člen 17 Uredbe (EU) 2024/1689 — Sistem vodenja kakovosti. Uradno besedilo, praktična razlaga, ključne obveznosti in posledice za skladnost.
Povzetek uradnega besedila
Člen 17 Uredbe (EU) 2024/1689 zahteva, da ponudniki visoko tveganih sistemov UI vzpostavijo sistem vodenja kakovosti (SVK) pred dajanjem takih sistemov na trg ali v obratovanje. SVK mora biti dokumentiran na sistematičen in urejen način ter mora zajemati vse faze življenjskega cikla sistema UI.
Uredba določa, da mora SVK obravnavati vsaj: strategijo ponudnika za regulativno skladnost, vključno s postopki ocenjevanja skladnosti; tehnike, postopke in sistematična dejanja, ki se uporabljajo za načrtovanje, nadzor načrtovanja in preverjanje sistema UI; postopke upravljanja podatkov, ki zajemajo pridobivanje, zbiranje, analizo, označevanje, shranjevanje, filtriranje, rudarjenje, agregiranje in hrambo podatkov; sistem obvladovanja tveganj, kot je predviden v Členu 9; vzpostavitev in izvajanje sistema potrgovinskega spremljanja v skladu s Členom 72; postopke poročanja o incidentih v skladu s Členom 73; ravnanje s komunikacijo s pristojnimi organi, priglašenimi organi in drugimi zadevnimi izvajalci; sisteme in postopke za vodenje evidenc; upravljanje virov, vključno z ukrepi v zvezi z dobavno verigo; in okvir odgovornosti, ki dokumentira odgovornosti v celotni organizaciji.
Kadar so ponudniki fizične osebe ali mikropodjetja, kot so opredeljena v Priporočilu Komisije 2003/361/ES, je Komisija pooblaščena za sprejetje izvedbenih aktov, ki dovoljujejo poenostavljene ureditve SVK, s čimer se priznava načelo sorazmernosti, ki je rdečo nit skozi vso uredbo.
Kaj to pomeni v praksi
Za vsako organizacijo, ki razvija ali daje na trg EU visoko tvegan sistem UI, Člen 17 pomeni, da skladnost ne more biti enkraten postopek, ki se izvede ob izdaji. Vgrajena mora biti v živ organizacijski sistem, ki uravnava celoten življenjski cikel proizvoda — od začetnih odločitev o načrtovanju prek uvajanja, spremljanja do dokončnega prenehanja delovanja.
V konkretnih besedah mora biti ponudnik sposoben dokazati, da dokumentirani postopki obstajajo in se upoštevajo v vsaki fazi. Na primer ponudnik UI za zdravstveno varstvo ne more preprosto usposobiti modela in ga predložiti za ocenjevanje skladnosti. Organizacija mora dokazati, da je pridobivanje podatkov potekalo v skladu z dokumentiranimi pravili upravljanja, da so bile odločitve o načrtovanju pregledane glede na merila tveganja, da so odgovornosti za nadzor dodeljene in zabeležene ter da obstaja mehanizem za odkrivanje in poročanje o incidentih po implementaciji.
Zahteva po SVK pomeni, da je skladnost enako organizacijski in postopkovni izziv kot tehnični. Podjetja, ki že delujejo po ISO 9001 ali sektorskih okvirih upravljanja — kot je ISO 13485 pri medicinskih pripomočkih — bodo odkrila znatno prekrivanje, a bodo morala kljub temu izrecno preslikati svoje obstoječe sisteme na zahteve Zakona o UI, namesto da predpostavljajo enakovrednost.
Manjši ponudniki imajo koristi od določbe o sorazmernosti: mikropodjetja se lahko usposobijo za poenostavljene ureditve na podlagi izvedbenih aktov Komisije. To jih pa ne izvzema od temeljnih materialnih obveznosti; lahko vpliva le na obliko, v kateri so te obveznosti dokumentirane in upravljane.
V praksi bi morali ponudniki SVK obravnavati kot osrednjo hrbtenico, iz katere se ustvarjajo in upravljajo vsi drugi artefakti skladnosti — tehnična dokumentacija, registri tveganj, načrti potrgovinskega spremljanja, dnevniki incidentov.
Ključne obveznosti
- Vzpostavitev dokumentiranega sistema vodenja kakovosti pred dajanjem visoko tveganega sistema UI na trg ali v obratovanje, ki zajema vse faze življenjskega cikla.
- Vključitev postopkov obvladovanja tveganj, ki jih zahteva Člen 9, v SVK, s čimer se zagotovi, da so prepoznavanje, vrednotenje in blaženje tveganj sistematični in sledljivi.
- Dokumentiranje praks upravljanja podatkov, ki zajemajo pridobivanje, označevanje, obdelavo, shranjevanje in hrambo, v skladu z zahtevami upravljanja podatkov iz Člena 10.
- Vzdrževanje tehnične dokumentacije, opredeljene v Členu 11 in Prilogi IV, kot rezultata SVK, ter njeno ohranjanje ažurnosti in dostopnosti za namene ocenjevanja skladnosti in tržnega nadzora.
- Izvajanje postopkov potrgovinskega spremljanja in poročanja o incidentih v okviru SVK, usklajenih z Členoma 72 in 73.
- Opredelitev in dokumentiranje struktur odgovornosti, vlog in odgovornosti v celotni organizaciji, vključno z nadzorom dobavne verige, kjer komponente tretjih oseb prispevajo k sistemu UI.
Razmerje z drugimi členi
Člen 17 deluje kot organizacijska hrbtenica sistema skladnosti za visoko tvegane sisteme UI, vzpostavljenega v Naslovu III, Poglavju 3. Svojo materialno vsebino črpa iz večih med seboj prepletenih obveznosti: sistem obvladovanja tveganj iz Člena 9, zahteve glede podatkov in upravljanja podatkov iz Člena 10 ter sistem tehnične dokumentacije iz Člena 11 neposredno vplivajo na to, kaj mora SVK zajemati in proizvajati.
SVK mora podpirati tudi postopke ocenjevanja skladnosti iz Členov 43 in 44, saj dokumentacija, ki jo ustvarja, predstavlja primaren dokaz, ki ga pregledujejo priglašeni organi ali postopki samoocenjevanja. Obveznosti po implementaciji po Členu 72 (potrgovinsko spremljanje) in Členu 73 (poročanje o resnih incidentih) morajo biti vgrajene v postopke SVK in ne upravljane kot ločene ad hoc dejavnosti.
Člen 26 nalaga izvajalcem dolžnosti, ki so ločene od obveznosti SVK ponudnikov, a jih dopolnjujejo. Kadar se ponudniki in izvajalci prekrivajo — na primer kadar organizacija visoko tvegan sistem UI tako razvija kot interno uvaja — mora biti SVK iz Člena 17 bran skupaj z dolžnostmi izvajalca iz Člena 26, da se zagotovi popolna pokritost.
Časovnica skladnosti
Uredba EU o umetni inteligenci je začela veljati 1. avgusta 2024 po objavi v Uradnem listu Evropske unije. Uporaba njenih določb je postopna:
- Februar 2025 — Prepovedi praks UI z nesprejemljivim tveganjem (Člen 5) so postale uporabne.
- Avgust 2025 — Obveznosti v zvezi z modeli UI splošnega namena (Naslov VIII) so postale uporabne.
- 2. avgust 2026 — Člen 17 postane uporaben za ponudnike visoko tveganih sistemov UI, navedenih v Prilogi III (sistemi na področjih, kot so biometrija, kritična infrastruktura, izobraževanje, zaposlovanje, bistvene storitve, kazenski pregon, migracije in upravljanje pravosodja).
- 2. avgust 2027 — Člen 17 postane uporaben za ponudnike visoko tveganih sistemov UI, ki jih ureja Priloga I (komponente UI v proizvodih, ki že podlegajo harmonizacijski zakonodaji Unije, kot so medicinski pripomočki, stroji in letalska oprema).
Ponudniki, katerih sistemi so na trgu že pred temi datumi, imajo korist od prehodnih ureditev po Členu 111, ki lahko odložijo polne obveznosti skladnosti SVK pod pogoji, ki se nanašajo na bistvene spremembe in stalne cikle ocenjevanja skladnosti. Organizacije bi morale začeti z načrtovanjem SVK in ocenjevanjem vrzeli dovolj pred zadevnim rokom, da omogočijo notranjo validacijo, vključevanje priglašenih organov, kadar je to potrebno, in iterativno izboljševanje pred uveljavitvijo obveznosti.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Člen 17 nalaga obveznost sistema vodenja kakovosti izključno ponudnikom visoko tveganih sistemov UI, kot so opredeljeni v Členu 6 in Prilogi III Uredbe (EU) 2024/1689. Izvajalci tej posebni obveznosti niso zavezani, čeprav imajo ločene dolžnosti po Členu 26.
SVK mora zajemati vsaj: strategijo regulativne skladnosti, metodologije načrtovanja in razvoja, postopke upravljanja podatkov, obvladovanje tveganj v skladu s Členom 9, tehnično dokumentacijo po Členu 11, vodenje dnevnikov in evidenc, potrgovalno spremljanje po Členu 72, obveznosti poročanja o incidentih in ureditve človeškega nadzora.
Člen 17 ne nalaga nobenega posebnega standarda certificiranja. Vendar pa je skladnost z uveljavljenimi standardi, kot je ISO 9001 ali sektorski ekvivalenti, podpora pri izkazovanju skladnosti, zlasti kadar harmonizirani standardi po Členu 40 vključujejo zahteve SVK.
SVK in tehnična dokumentacija sta tesno povezana. SVK mora ustvarjati in vzdrževati tehnično dokumentacijo, ki jo zahtevata Člen 11 in Priloga IV, sama dokumentacija pa služi kot primaren dokaz, da SVK med ocenjevanjem skladnosti pravilno deluje.
Člen 17 se uporablja za ponudnike visoko tveganih sistemov UI, navedenih v Prilogi III, od 2. avgusta 2026, in za ponudnike visoko tveganih sistemov UI, ki jih ureja Priloga I (sektorska harmonizacijska zakonodaja Unije), od 2. avgusta 2027, ob upoštevanju prehodnih določb Člena 111.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.