Annex VII AI Act
Συμμόρφωση με βάση αξιολόγηση του συστήματος διαχείρισης της ποιότητας και αξιολόγηση του τεχνικού φακέλου
Official text
Συμμόρφωση με βάση αξιολόγηση του συστήματος διαχείρισης της ποιότητας και αξιολόγηση του τεχνικού φακέλου 1. Εισαγωγή Η συμμόρφωση με βάση την αξιολόγηση του συστήματος διαχείρισης ποιότητας και την αξιολόγηση του τεχνικού φακέλου είναι η διαδικασία αξιολόγησης της συμμόρφωσης που διεξάγεται βάσει των σημείων 2 έως 5. 2. Επισκόπηση Το εγκεκριμένο σύστημα διαχείρισης ποιότητας για τον σχεδιασμό, την ανάπτυξη και τη δοκιμή συστημάτων ΤΝ δυνάμει του άρθρου 17 εξετάζεται σύμφωνα με το σημείο 3 και υπόκειται σε επιτήρηση όπως προσδιορίζεται στο σημείο 5. Ο τεχνικός φάκελος του συστήματος ΤΝ εξετάζεται σύμφωνα με το σημείο 4. 3. Σύστημα διαχείρισης ποιότητας
3.1.
Η αίτηση του παρόχου περιλαμβάνει:
α)
το όνομα και τη διεύθυνση του παρόχου και, εάν η αίτηση υποβάλλεται από εξουσιοδοτημένο αντιπρόσωπο, επίσης το όνομα και τη διεύθυνση αυτού·
β)
τον κατάλογο των συστημάτων ΤΝ που καλύπτονται από το ίδιο σύστημα διαχείρισης ποιότητας·
γ)
τον τεχνικό φάκελο για κάθε σύστημα ΤΝ που καλύπτεται από το ίδιο σύστημα διαχείρισης ποιότητας·
δ)
την τεκμηρίωση του συστήματος διαχείρισης ποιότητας που καλύπτει όλες τις πτυχές που απαριθμούνται στο άρθρο 17·
ε)
περιγραφή των διαδικασιών που προβλέπονται για να διασφαλιστεί η διατήρηση της καταλληλότητας και της αποτελεσματικότητας του συστήματος διαχείρισης ποιότητας·
στ)
γραπτή δήλωση με την οποία βεβαιώνεται ότι δεν έχει υποβληθεί η ίδια αίτηση σε άλλο κοινοποιημένο οργανισμό.
3.2.
Το σύστημα διαχείρισης ποιότητας αξιολογείται από τον κοινοποιημένο οργανισμό για να διαπιστωθεί αν πληροί τις απαιτήσεις που αναφέρονται στο άρθρο 17. Η απόφαση κοινοποιείται στον πάροχο ή στον εξουσιοδοτημένο αντιπρόσωπό του. Η κοινοποίηση περιλαμβάνει τα συμπεράσματα της αξιολόγησης του συστήματος διαχείρισης ποιότητας και την αιτιολογημένη απόφαση αξιολόγησης.
3.3.
Ο πάροχος εξακολουθεί να εφαρμόζει και να συντηρεί το σύστημα διαχείρισης ποιότητας, ως έχει εγκριθεί, ώστε να παραμένει κατάλληλο και αποτελεσματικό.
3.4.
Ο πάροχος γνωστοποιεί στον κοινοποιημένο οργανισμό κάθε σχεδιαζόμενη αλλαγή στο εγκεκριμένο σύστημα διαχείρισης ποιότητας ή στον κατάλογο των συστημάτων ΤΝ που καλύπτονται από αυτό. Ο κοινοποιημένος οργανισμός εξετάζει τις προτεινόμενες αλλαγές και αποφασίζει αν το τροποποιημένο σύστημα διαχείρισης ποιότητας εξακολουθεί να πληροί τις απαιτήσεις που αναφέρονται στο σημείο 3.2 ή αν χρειάζεται νέα αξιολόγηση. Ο κοινοποιημένος οργανισμός κοινοποιεί την απόφασή του στον πάροχο. Η κοινοποίηση περιέχει τα συμπεράσματα της εξέτασης των αλλαγών και την αιτιολογημένη απόφαση αξιολόγησης.
4. Έλεγχος του τεχνικού φακέλου.
4.1.
Πέραν της αίτησης που αναφέρεται στο σημείο 3, ο πάροχος υποβάλλει στον κοινοποιημένο οργανισμό της επιλογής του αίτηση για την αξιολόγηση του τεχνικού φακέλου του συστήματος ΤΝ που προτίθεται να διαθέσει στην αγορά ή να θέσει σε λειτουργία και που καλύπτεται από το σύστημα διαχείρισης ποιότητας το οποίο αναφέρεται στο τμήμα 3.
4.2.
Η αίτηση περιέχει:
α)
το όνομα και τη διεύθυνση του παρόχου·
β)
γραπτή δήλωση με την οποία βεβαιώνεται ότι δεν έχει υποβληθεί η ίδια αίτηση σε άλλο κοινοποιημένο οργανισμό·
γ)
τον τεχνικό φάκελο που αναφέρεται στο παράρτημα IV.
4.3.
Ο κοινοποιημένος οργανισμός εξετάζει τον τεχνικό φάκελο. Εφόσον αρμόζει και περιορίζεται σε ό,τι είναι αναγκαίο για την εκπλήρωση των καθηκόντων του, παρέχεται στον κοινοποιημένο οργανισμό πλήρης πρόσβαση στα σύνολα δεδομένων εκπαίδευσης, επικύρωσης και δοκιμής που χρησιμοποιούνται, μεταξύ άλλων, κατά περίπτωση και με την επιφύλαξη εγγυήσεων ασφάλειας, μέσω ΔΠΕ ή άλλων σχετικών τεχνικών μέσων και εργαλείων που επιτρέπουν την εξ αποστάσεως πρόσβαση.
4.4.
Κατά την εξέταση του τεχνικού φακέλου, ο κοινοποιημένος οργανισμός μπορεί να ζητήσει από τον πάροχο να παράσχει περαιτέρω αποδεικτικά στοιχεία ή να διενεργήσει περαιτέρω δοκιμές, ώστε να καταστεί δυνατή η ορθή αξιολόγηση της συμμόρφωσης του συστήματος ΤΝ με τις απαιτήσεις που καθορίζονται στο κεφάλαιο III τμήμα 2. Όταν ο κοινοποιημένος οργανισμός δεν είναι ικανοποιημένος με τις δοκιμές που πραγματοποίησε ο πάροχος, διεξάγει ο ίδιος ο κοινοποιημένος οργανισμός απευθείας κατάλληλες δοκιμές, όπως κρίνεται σκόπιμο.
4.5.
Όταν απαιτείται για την αξιολόγηση της συμμόρφωσης του συστήματος ΤΝ υψηλού κινδύνου με τις απαιτήσεις που καθορίζονται στο κεφάλαιο III τμήμα 2, αφού έχουν εξαντληθεί όλα τα άλλα εύλογα μέσα επαλήθευσης της συμμόρφωσης και έχουν αποδειχθεί ανεπαρκή, και κατόπιν αιτιολογημένου αιτήματος, παρέχεται επίσης στον κοινοποιημένο οργανισμό πρόσβαση στα μοντέλα εκπαίδευσης και τα εκπαιδευμένα μοντέλα του συστήματος ΤΝ, συμπεριλαμβανομένων των σχετικών παραμέτρων του. Η πρόσβαση αυτή υπόκειται στο ισχύον δίκαιο της Ένωσης σχετικά με την προστασία της διανοητικής ιδιοκτησίας και του εμπορικού απορρήτου.
4.6.
Η απόφαση του κοινοποιημένου οργανισμού κοινοποιείται στον πάροχο ή στον εξουσιοδοτημένο αντιπρόσωπό του. Η κοινοποίηση περιλαμβάνει τα συμπεράσματα της αξιολόγησης του τεχνικού φακέλου και την αιτιολογημένη απόφαση αξιολόγησης. Όταν το σύστημα ΤΝ συμμορφώνεται με τις απαιτήσεις που καθορίζονται στο κεφάλαιο III τμήμα 2, ο κοινοποιημένος οργανισμός χορηγεί ενωσιακό πιστοποιητικό αξιολόγησης του τεχνικού φακέλου. Το πιστοποιητικό περιλαμβάνει το όνομα και τη διεύθυνση του παρόχου, τα συμπεράσματα της εξέτασης, τους όρους (εάν υπάρχουν) υπό τους οποίους ισχύει και τα απαραίτητα στοιχεία για την ταυτοποίηση του συστήματος ΤΝ. Το πιστοποιητικό και τα παραρτήματά του περιλαμβάνουν όλες τις απαραίτητες πληροφορίες για την αξιολόγηση της συμμόρφωσης του συστήματος ΤΝ και, κατά περίπτωση, τον έλεγχό του κατά τη χρήση του. Εάν το σύστημα ΤΝ δεν συμμορφώνεται με τις απαιτήσεις που καθορίζονται στο κεφάλαιο III τμήμα 2, ο κοινοποιημένος οργανισμός αρνείται να χορηγήσει ενωσιακό πιστοποιητικό αξιολόγησης του τεχνικού φακέλου και ενημερώνει σχετικά τον αιτούντα, αιτιολογεί δε λεπτομερώς την άρνηση χορήγησης του πιστοποιητικού. Όταν το σύστημα ΤΝ δεν πληροί την απαίτηση σχετικά με τα δεδομένα που χρησιμοποιούνται για την εκπαίδευσή του, θα χρειαστεί επανεκπαίδευση του συστήματος ΤΝ πριν από την υποβολή αίτησης για νέα αξιολόγηση της συμμόρφωσης. Σε αυτήν την περίπτωση, η αιτιολογημένη απόφαση αξιολόγησης του κοινοποιημένου οργανισμού με την οποία αρνείται να εκδώσει το ενωσιακό πιστοποιητικό αξιολόγησης του τεχνικού φακέλου περιλαμβάνει ειδικές εκτιμήσεις σχετικά με τα δεδομένα ποιότητας που χρησιμοποιήθηκαν για την εκπαίδευση του συστήματος ΤΝ, ιδίως όσον αφορά τους λόγους μη συμμόρφωσης.
4.7.
Κάθε αλλαγή στο σύστημα ΤΝ που θα μπορούσε να επηρεάσει τη συμμόρφωση του συστήματος ΤΝ προς τις απαιτήσεις ή τον επιδιωκόμενο σκοπό του εκτιμάται από τον κοινοποιημένο οργανισμό ο οποίος εξέδωσε το ενωσιακό πιστοποιητικό αξιολόγησης του τεχνικού φακέλου. Ο πάροχος ενημερώνει τον εν λόγω κοινοποιημένο οργανισμό για την πρόθεσή του να προβεί σε οποιαδήποτε από τις προαναφερόμενες αλλαγές ή εάν αντιληφθεί με άλλο τρόπο την επέλευση των αλλαγών αυτών. Ο κοινοποιημένος οργανισμός εκτιμά τις σχεδιαζόμενες αλλαγές και αποφασίζει αν οι αλλαγές αυτές απαιτούν νέα αξιολόγηση της συμμόρφωσης σύμφωνα με το άρθρο 43 παράγραφος 4 ή αν θα μπορούσαν να αποτελέσουν αντικείμενο συμπληρώματος του ενωσιακού πιστοποιητικού αξιολόγησης του τεχνικού φακέλου. Στη δεύτερη περίπτωση, ο κοινοποιημένος οργανισμός εκτιμά τις αλλαγές, γνωστοποιεί στον πάροχο την απόφασή του και, εφόσον εγκριθούν οι αλλαγές, χορηγεί στον πάροχο συμπλήρωμα του ενωσιακού πιστοποιητικού αξιολόγησης του τεχνικού φακέλου.
5. Επιτήρηση του εγκεκριμένου συστήματος διαχείρισης ποιότητας.
5.1.
Σκοπός της επιτήρησης που διενεργείται από τον αναφερόμενο στο σημείο 3 κοινοποιημένο οργανισμό είναι να εξασφαλιστεί ότι ο πάροχος συμμορφώνεται δεόντως με τους όρους και τις προϋποθέσεις του εγκεκριμένου συστήματος διαχείρισης ποιότητας.
5.2.
Για σκοπούς αξιολόγησης, ο πάροχος επιτρέπει στον κοινοποιημένο οργανισμό την πρόσβαση στους χώρους όπου πραγματοποιείται ο σχεδιασμός, η ανάπτυξη ή η δοκιμή των συστημάτων ΤΝ. Ο πάροχος κοινοποιεί περαιτέρω στον κοινοποιημένο οργανισμό όλες τις απαραίτητες πληροφορίες.
5.3.
Ο κοινοποιημένος οργανισμός πραγματοποιεί περιοδικούς ελέγχους, για να βεβαιώνεται ότι ο πάροχος συντηρεί και εφαρμόζει το σύστημα διαχείρισης ποιότητας, και υποβάλλει στον πάροχο έκθεση ελέγχου. Στο πλαίσιο των εν λόγω ελέγχων, ο κοινοποιημένος οργανισμός μπορεί να διενεργεί πρόσθετες δοκιμές των συστημάτων ΤΝ για τα οποία έχει εκδοθεί ενωσιακό πιστοποιητικό αξιολόγησης του τεχνικού φακέλου.
Source: EUR-Lex, Regulation (EU) 2024/1689 — text reproduced verbatim.
📬 AI Act Weekly
Get the most important AI Act developments in your inbox every week.
SubscribeFrequently asked questions
What does Annex VII of the AI Act describe?
Annex VII describes the conformity assessment procedure based on assessment of the quality management system and assessment of the technical documentation by a notified body.
When is the Annex VII procedure mandatory?
Annex VII is mandatory for biometric AI systems under Annex III, point 1 (remote identification, biometric categorisation, emotion recognition), unless fully harmonised standards have been applied and the provider opts for internal control (Annex VI).
What does the notified body assess?
The notified body assesses two things: (1) the quality management system for compliance with Article 17, and (2) the technical documentation of the AI system for compliance with Chapter III, Section 2 requirements.
Can the notified body demand access to training data?
Yes, point 4.3 states that the notified body, where relevant and limited to its tasks, shall be granted full access to training, validation and testing datasets, including through API or other technical means for remote access where appropriate.
What if the notified body rejects my technical documentation?
The notified body will refuse the EU certificate and inform the provider with detailed reasons. If the issue relates to training data, the AI system must be retrained before a new conformity assessment.
How long is the certificate valid?
The certificate contains its validity conditions. The notified body conducts periodic audits (point 5.3) to verify the quality management system is maintained. Changes to the AI system may require reassessment (point 4.7).
What must I submit to the notified body?
Point 3.1 requires: (a) provider name and address, (b) list of AI systems under the QMS, (c) technical documentation per AI system, (d) QMS documentation, (e) procedures for adequacy, and (f) declaration that no other notified body has been approached.
Can the notified body also access the trained model?
Yes, point 4.5 states that in exceptional cases, after exhausting other means and upon reasoned request, the notified body may also access the trained model and relevant parameters, subject to IP and trade secret protections.